Про розробку
Інструмент оцінки кібербезпеки (CSET®)
The Cyber Security Evaluation Tool (CSET®)
Керівництво користувача
Загальний посібник
Управління кібербезпеки та інфраструктурної безпеки
(Cybersecurity & Infrastructure Security Agency, CISA) є розробником CSET®
Адаптація та локалізація на українську мову:
© ТОВ «СОФТЛІСТ», м. Київ, 2023-2024рр. Всі права захищені.
Інформація про документ
Даний документ є розробленим Загальним посібником користувача по роботі
з Інструментом оцінки кібербезпеки (CSET®) (надалі Система, CSE,
CSET). Даний документ є складовою частиною зазначеної Системи.
Про правовласника
Адаптація та локалізація на українську мову Інструмента оцінки
кібербезпеки (CSET®) здійснена:
© ТОВ «СОФТЛІСТ», м. Київ, 2023-2024 р.р. Всі права захищені.
У відповідності до чинного законодавства України у сфері інтелектуальної
власності, дана локалізована версія Керівництва користувача (далі
Керівництво) не належить повному або частковому відтворенню без
попередньої письмової згоди ТОВ «СОФТЛІСТ» (надалі Локалізатор): ніяка
частина цього документа не може бути скопійована, відтворена в будь-якій формі
та/або змінена.
Передача третім особам
Тільки для внутрішнього використання.
Заборонена передача третім особам та комерційна реалізація.
За додатковою інформацією необхідно звертатись за адресою: order@softlist.ua
Достовірність
Дане Керівництво пройшло перевірку на достовірність та точність. Вказівки
та описи, що містяться у ньому, визнані вірними для програмного
забезпечення Інструмент оцінки кібербезпеки (CSET®)/The Cyber Security
Evaluaon Tool (CSET®) на момент підготовки та виходу даного Керівництва.
Деякі ілюстрації або пояснення в цьому Керівництві можуть відрізнятися
від поточної версії системи через її покращення або реалізацію
додаткового функціоналу.
Локалізатор залишає за собою право не відображати у цьому Керівництві
користувача зміни, які можуть вноситися CISA (надалі – Розробник) під час
випуску програмного забезпечення, але не впливають на функціональні
показники програми.
Вступ до CSET
Цей розділ допоможе користувачеві краще зрозуміти Інструмент оцінки
кібербезпеки (CSET®), його передумови та цілі.
Огляд
Інструмент оцінки кібербезпеки (CSET®)/The Cyber Security Evaluaon Tool
(CSET®) це програмний інструмент для проведення оцінок кібербезпеки
кіберсистем управління підприємством і промисловістю.
Він був розроблений, щоб допомогти власникам активів виявити вразливі
місця та покращити загальний стан кібербезпеки організації, скеровуючи їх
через низку запитань, які представляють вимоги безпеки мережі та
найкращі практики.
Представлені анкети вимог базуються на вибраних галузевих стандартах,
загальних вимогах і схемі мережі (або топології та архітектурі мережі).
CSET Framework
Основна структура для CSET включає:
Інструменти аналізу та інтерфейсу користувача для допомоги в
оцінці ICS;
Базу знань щодо вимог, нормативних актів і практик щодо
кібербезпеки ICS;
Колекцію рішень для пом’якшення вразливостей.
Базовий процес оцінювання
Для командного оцінювання
Перед початком оцінювання сформуйте експертну групу з предметної
області. Команди, зазвичай, включають представників вищого керівництва,
бізнесу, операцій, ІТ, ICS та безпеки. Зібрана команда несе відповідальність
за визначення рівнів оцінки та відповіді на конкретні детальні запитання
щодо системи керування та конфігурації безпеки.
Знайомство з інструментом покращить і прискорить процес
оцінювання. Будь-хто в організації, який пройшов навчання або досвід
роботи з інструментом, повинен бути включений до команди.
Крім того, основний користувач повинен витратити деякий час на
використання інструменту лише з тестовими або фіктивними даними до
початку командної діяльності.
Документи, на які можна посилатися, слід зібрати до проведення
оцінки. Корисні довідкові матеріали включають інформацію, що стосується
експлуатації, технічного обслуговування, фізичної безпеки, кібербезпеки та
небезпечних матеріалів.
Запуск CSET
Існує більше одного способу використання примірника CSET. Незалежно від
того, чи використовуєте ви веб-примірник, автономну чи корпоративну
установку.
Web - примірник
Якщо ви використовуєте загальнодоступний веб-примірник, вам потрібно
буде зареєструвати обліковий запис CSET.
Зареєструйте обліковий запис CSET
Зареєструйтеся в CSET, спочатку встановивши CSET.
Локальна установка
Відвідайте сайт завантаження CSET за адресою: hps://cset-download.inl.gov/
Після завантаження дистрибутив CSET буде на локальному робочому
столі. Якщо ви встановлюєте CSET локально, натисніть піктограму, щоб
почати.
Корпоративна інсталяція
Якщо ваш дистрибутив CSET є корпоративним примірником, зверніться до
адміністратора CSET вашої компанії.
Після встановлення перейдіть на домашню сторінку CSET. Під логіном є
посилання «Зареєструвати новий обліковий запис користувача». Нове
оцінювання можна розпочати з цільової сторінки користувача, натиснувши
кнопку «Почати нове оцінювання».
Додайте інформацію про організацію/сайт
Почніть оцінювання, заповнивши деталі оцінювання. Це включає назву та
дату оцінювання, інформацію про предметну систему, контактні особи та
опис оцінювання. Така інформація буде корисною, якщо ви будете
звертатися до оцінювання пізніше.
На рисунку нижче графічно зображено наступні кроки процесу
самооцінювання.
Нижче наведено короткий опис кроків.
Підготовка
Інформація про організаціюайт
Перша частина процесу підготовки до оцінки полягає в наданні конкретної
інформації про оцінку, включаючи відповідальних, коли вона відбулася, які
об’єкти були задіяні, а також іншої описової та короткої інформації.
Демографічні показники
Надання галузевої та демографічної інформації дозволяє CSET
запропонувати типові стандарти, які визначають питання оцінювання.
Вибір цільового рівня безпеки (Security Assurance Level, SAL)
Вибране значення SAL обмежить необхідні запитання лише тими, що
стосуються вибраного рівня. Значення SAL також використовується для
рейтингу пропущених запитань.
Система вимагає, щоб користувач ідентифікував SAL, і надається кілька
варіантів, щоб визначити, якою має бути SAL.
Користувач може обійти екрани вказівок і безпосередньо вибрати SAL.
Користувач може використовувати Загальні вказівки SAL (на основі
наслідків) або вказівки Federal Informaon Processing Standard (FIPS) 199 SAL
guidance (based on FIPS 199 and Naonal Instute of Standards and Technology
(NIST), Special Publicaon (SP) 800-60).
Стандартний вибір
На екрані вибору стандарту кібербезпеки міститься список стандартів і
посібників, застосовних до параметрів режиму. Список варіантів буде
відрізнятися залежно від вибраного режиму. Досвідчені користувачі
матимуть можливість вибрати один або кілька стандартів, за якими вони
хотіли б оцінюватися.
Створення діаграми
CSET надає універсальний інструмент діаграми для створення діаграми
мережі системи, що оцінюється.
Діаграма дозволяє детально моделювати систему та/або мережу за
допомогою попередньо визначених шаблонів і шаблонів, які спеціально
використовуються в галузевих стандартах.
Після розробки діаграми можна призначити атрибутивні дані, які
покращать візуальне представлення, уможливлять групування та шари, а
також нададуть вхідні дані для аналізу та ранжування питань.
Простий аналіз мережі доступний у інструменті та надається у звітах і на
екрані аналізу.
Оцінювання
Запитання
Після вибору стандарту CSET створить набір запитань для оцінювання,
доступ до яких можна отримати з екрана оцінювання. На всі
запитання буде надано відповідь «Так», «Ні», «Не застосовується» (НД) або
через поле альтернативного тексту (Альт).
Якщо вибрано режим вимоги, запитання будуть представлені як чіткі
вимоги вибраного галузевого стандарту.
Процес відповідей на запитання нудний, але простий. Як команда, почніть
із запитання 1 і продовжуйте розглядати кожну предметну область (домен)
або категорію, доки не обговорите всі запитання та не отримаєте відповіді.
Запитання щодо компонентів
Після того, як користувач побудує діаграму мережі, CSET генерує запитання
щодо компонентів на основі типів компонентів і компонентів, які були
позначені як унікальні.
Запитання згруповано таким чином, що запитання за замовчуванням
можна застосовувати до ряду типів.
Система також дозволяє змінювати відповіді на основі типу або окремого
компонента.
Результати
Інформаційна панель
Інформаційна панель результатів показує основний бал або результати
оцінювання з першого погляду. Огляд показує 2 бали: (1) загальний бал і (2)
бал на основі стандартів.
Він також показує діаграми для оцінку відповідності, категорій з найвищим
рейтингом, підсумок за стандармати, підсумок за компонентами.
Аналіз
Результати оцінювання можна переглянути у двох місцях: у діаграмах
аналізу та у друкованих звітах.
Перший з екрану аналізу, що містить діаграми та табличні дані, які
представляють як підсумкову, так і детальну інформацію про те, наскільки
добре працюють користувачі та де їм потрібно покращитися, включаючи
рейтинги запитань за категоріями та самі запитання.
Другий спосіб перегляду результатів оцінювання – набір друкованих звітів.
Звіти
Звіти містять деталі та бали оцінювання, а також дозволяють друкувати та
публікувати інформацію про оцінювання, включаючи підсумкові діаграми
та списки. Звіти можуть допомогти користувачеві чітко зрозуміти, де є
слабкі місця та де слід зробити покращення.
Кожен звіт забезпечує все більший рівень деталізації. Нарешті, звіт про план
безпеки містить шаблон для документування необхідних засобів контролю
кібербезпеки та ступеня їх дотримання. Звіти для друку містять діаграми,
списки та детальну інформацію, що відображається на екрані аналізу.
Додаткові дії
Використання документів з оцінювання
CSET дає користувачам можливість збирати та зберігати всі документи, що
стосуються оцінювання. Цей збір можна здійснити двома способами. По-
перше, усі запитання можуть мати один або кілька документів, пов’язаних
із ними, у розділі документів посилання на деталі та ресурси під кожним
запитанням. До другого способу можна отримати доступ за посиланням
документи оцінювання доступним із меню Допомога. Екран Бібліотека
документів містить список усіх документів, пов’язаних із оцінюванням.
Використання Бібліотеки ресурсів
Бібліотека ресурсів є джерелом додаткової документації з
кібербезпеки. Доступ до нього здійснюється з верхнього меню головного
вікна CSET.
Бібліотека ресурсів містить довідкові матеріали, які дають відповіді на
багато технічних або політичних запитань і допомагають у створенні та
підтримці комплексної програми кібербезпеки.
Захист інформації
Відновлення даних
CSET постійно зберігає введені дані. Якщо CSET закриється або браузер
перезапуститься, усі введені дані будуть збережені автоматично.
Онлайн підручники
Знайдіть останні навчальні посібники CSET на нашому каналі
YouTube: hps://www.youtube.com/channel/UCpUCK2ScvdCkUdEl0Z_3N0A.
Відмова від відповідальності
Про CSET
Інструмент оцінки кібербезпеки (CSET®)/The Cyber Security Evaluaon Tool
(CSET®) є продуктом Управління кібербезпеки та інфраструктурної безпеки
(Cybersecurity & Infrastructure Security Agency, CISA), який допомагає
організаціям захищати свої ключові національні кіберактиви.
Він був розроблений під керівництвом Відділу політики, планів і взаємодії
CSET (наземна кіберполітика) експертами з кібербезпеки та за сприяння
Національної лабораторії Айдахо (INL).
Цей інструмент надає користувачам систематичний та повторюваний підхід
для оцінки рівня безпеки їхніх кіберсистем та мереж. Він включає в себе як
загальні, так і детальні питання, пов'язані зі всіма промисловими системами
управління та ІТистемами.
Заява про конфіденційність
Повноваження: 5 U.S.C. § 301 і 44 U.S.C. § 3101 надають право на збір цієї
інформації.
Мета: Основна мета збору цієї інформації дозволити Міністерству
внутрішньої безпеки/Department of Homeland Security зв’язатися з вами
щодо вашого запиту.
Звичайне використання: Зібрану інформацію можна розголошувати
відповідно до 5 U.S.C. § 552a(b) Закону про конфіденційність/Privacy Act
1974 року зі змінами. Це включає в себе використання інформації за
необхідності та дозволеного звичайним використанням, опублікованим у
DHS/ALL-002 - Department of Homeland Security (DHS) Mailing and Other Lists
System November 25, 2008, 73 FR 71659.
Розголошення: надання цієї інформації є добровільним, однак, ненадання
цієї інформації не дозволить DHS зв’язатися з вами, якщо виникнуть
запитання щодо вашого запиту.
Початок роботи
У цьому розділі описано кроки реєстрації облікового запису CSET, підготовку
до оцінювання та планування оцінювання.
Підготовка до оцінювання
Перед використанням інструменту для проведення оцінювання необхідно
виконати два попередні завдання: (1) сформувати групу експертів і (2)
зібрати документацію про мережу/архітектуру та відповідну інформацію.
Вибір предметної команди
Першим кроком є вибір міжфункціональної групи з проведення оцінки, що
складається з експертів, відібраних з різних операційних сфер організації.
Організації можуть додавати додаткових членів команди за необхідності
для вирішення конкретних питань. До складу команди має входити кожен
співробітник організації, який пройшов навчання або має досвід роботи з
інструментом CSET.
Перед початком роботи команди основний користувач повинен витратити
деякий час на роботу з інструментом CSET, використовуючи лише тестові або
фіктивні дані. Ознайомлення з інструментом CSET підвищить швидкість і
простоту його використання.
Для проведення ефективного оцінювання пропонується залучити
представників з наступних областей. Представники повинні мати значний
досвід у своїх сферах відповідальності.
Якщо виконується оцінка ICS:
Промислові системи управління (знання архітектури та
функціонування промислових систем управління)
Конфігурація системи (знання системного менеджменту).
Системні операції (знання роботи системи).
Для оцінки ICS або IT:
ІТ-мережа/топологія (знання ІТ-інфраструктури).
ІТ-безпека/безпека системи управління (знання політик, процедур і
технічної реалізації).
Управління ризиками (знання процесів і процедур управління
ризиками організації).
Бізнес (знання бюджетних питань та страхових положень).
Керівництво (старший виконавчий спонсор/особа, що приймає
рішення).
Зберіть допоміжну документацію та інформацію
Попередні користувачі CSET виявили, що під час проходження оцінювання
корисно мати такі типи документів та інформації.
Перед початком оцінювання бажано зібрати цю довідкову інформацію:
Організаційна схема, яка визначає обов’язки;
Річний операційний та капітальний бюджети;
Опис страхової політики;
Попередні оцінки ризиків та вразливостей;
Посібники з експлуатації, управління та технічного обслуговування
потужностей;
Документація з управління ризиками;
Стандарти поводження з небезпечними відходами та реагування на
надзвичайні ситуації;
План дій у надзвичайних ситуаціях/План реагування на надзвичайні
ситуації;
Інвентаризація активів і оцінка критичності від комп’ютеризованої
системи управління технічним обслуговуванням (CMMS);
Перелік програмного та апаратного забезпечення керування
процесами/SCADA, включаючи інтерфейси;
Схема топології мережі та супровідна документація;
Документація/знання з попередніх інцидентів або аварійних
ситуацій;
Загальна інвентаризація активів, визначення критичності активів,
аналіз впливу на бізнес, плани на випадок надзвичайних ситуацій і
т.д.; і
Політики, плани та процедури інформаційної безпеки.
Коли команда оцінювання підготовлена та підтверджуючі документи
зібрані, організація готова розпочати CSET і розпочати саме оцінювання.
Запуск CSET
На головному екрані CSET з'явиться вікно, як показано на рисунку нижче.
Рисунок: Головний екран CSET
Імпорт/експорт оцінювання CSET
Імпорт файлу .csetw
За допомогою веб-версії CSET ви можете імпортувати файл .csetw. Для
початку натисніть кнопку «Імпортувати», щоб розпочати процес.
Рисунок: Кнопка імпорту
Відкриється провідник файлів, і на цьому етапі ви можете вибрати файл
.csetw. На цільовій сторінці з'явиться нова оцінка, яка є дублікатом
завантаженої оцінки.
Примітка. Веб-версія CSET підтримує лише завантаження файлів .csetw. Для
завантаження застарілих файлів (.cset) користувач повинен
використовувати окрему інсталяцію.
Експорт оцінювання CSET
Щоб експортувати оцінку, просто виберіть кнопку «Експортувати» поруч із
оцінкою, яку потрібно експортувати, на цільовій сторінці.
Рисунок: кнопка експорту файлу на цільовій сторінці користувача
Для експорту файлу оцінювання натисніть кнопку «Експортувати» праворуч
від оцінювання, яке бажаєте експортувати. Завантажений файл .csetw буде
збережено в папці «Завантаження» на вашому комп'ютері, якщо в
налаштуваннях користувача не вказано інше.
Навігація CSET
Коли ви вибираєте оцінювання на вкладці «Нове оцінювання», панель
навігації змінюється.
Вибір моделі зрілості додасть певну інформацію про цю модель
(наприклад, підручник або вибір цілі), запитання зрілості на вкладку
«Оцінювання» та, залежно від вибраної моделі, зміни на вкладці
«Результати».
Якщо вибрати стандарт, на вкладку «Оцінювання» додаються:
Рівень гарантії безпеки,
Стандартні запитання,
а на вкладку «Результати» додаються:
Інформаційна панель аналізу,
Пріоритети контролю,
Зведення стандартів,
Ранжировані категорії
Результати за категоріями.
Вибір «Діаграми мережі» додає:
рівень гарантії безпеки та діаграму мережі на вкладку «Підготовка»,
запитання щодо компонентів діаграми на вкладку «Оцінювання»,
а на вкладку «Результати»:
o Підсумок компонентів,
o Ранжовані компоненти за категоріями,
o Результати компонентів за категоріями,
o Компоненти за типами компонентів
o Мережеві попередження.
Наступні функції є спільними для всіх функцій:
Конфігурація оцінювання
Інформація про оцінювання
Резюме, огляд і коментарі
Звіти
Зворотній зв'язок
Верхня панель навігації CSET
Верхня навігаційна панель CSET надає користувачеві доступ до
високорівневих функцій програми CSET і показана на рисунку нижче.
Рисунок: верхня панель навігації CSET
1. Головна сторінка CSET
Кнопка CSET HOME відкриває цільову сторінку користувача.
2. Інструменти
Кнопка «Інструменти» відкриває меню «Інструменти».
3. Бібліотека ресурсів
Кнопка «Бібліотека ресурсів» відкриває бібліотеку ресурсів.
Допомога
Кнопка «Допомога» відкриває меню «Допомога».
Профіль користувача
Ваше ім'я користувача
Вміст верхньої панелі навігації CSET
Меню інструментів
Меню «Інструменти» надає користувачеві опції поза процесом оцінювання.
Користувач може отримати доступ до:
Увімкнення захищених функцій,
Документів оцінки,
Редактора параметрів,
Експорту оцінки в Excel,
Імпорту модулів,
Конструктора модулів,
Тренду та
Порівняння.
Меню «Інструменти» описано на рисунку нижче.
Примітка. «Конструктор модулів» та «Імпорт модулів» доступні лише для
локальної інсталяції CSET.
Рисунок: Меню інструментів
Натисніть кнопку меню «Інструменти» , щоб відкрити
відповідне меню.
Увімкнути захищені функції. Натискання пункту меню «Увімкнути захищені
функції» відкриває вікно «Захищені функції», яке дозволяє користувачеві
переглянути певні анкети або стандарти, розроблені певними галузями, які
не є доступними для широкого загалу.
Документи оцінювання. При натисканні на пункт меню «Документи
оцінювання» відкриває вікно «Документи оцінювання», яке дозволяє
користувачам переглядати документи, які були призначені для конкретних
питань оцінювання. Якщо немає жодного документа, пов'язаного з
оцінюванням, список повернеться порожнім.
Редактор параметрів. При натисканні на пункт меню «Редактор
параметрів» відкривається вікно редактора параметрів, де користувачі
можуть зберігати параметри, пов'язані з обраним стандартом, в режимі
вимог, якщо вони підтримуються.
Експорт до Excel. Натискання пункту меню «Експортувати в Excel»
завантажує електронну таблицю Excel з відповідями на Питання або Вимоги
оцінювання.
Імпортувати модуль. Пункт меню «Модулі імпорту» містить функцію
«Модуль імпорту», яка використовується для стандартного імпорту.
Конструктор модулів. Натискання пункту меню «Конструктор модулів»
відкриває функцію «Конструктор модулів» для створення нових наборів
запитань і вимог.
Тенденція. Натискання пункту меню «Тенденція» відкриває функцію
«Тенденція», яка дозволяє переглянути шаблон агрегованих даних
оцінювання.
Порівняти. Натискання пункту меню «Порівняти» відкриває функцію
«Порівняти», яка дозволяє порівняти дані оцінювання.
Примітка. Функції «Документи оцінювання», «Редактор параметрів» і
«Експорт до Excel» доступні лише в рамках оцінювання. На цільовій
сторінці меню «Інструменти» виглядатиме, як показано на рисунку нижче.
Рисунок: Меню «Інструменти» поза оцінюванням
Вміст меню інструментів
Документи оцінювання
Цей розділ містить інформацію про призначення та використання
документів оцінки CSET. У вікні «Документи оцінювання» зберігаються
документи та файли, додані користувачем до тесту. Ці файли пов'язані з
конкретними запитаннями, щоб допомогти пояснити або надати докази
наданої відповіді.
У вікні «Документ оцінювання» можна переглянути всі файли, які
користувач зберіг в оцінці.
Під час оцінювання документ можна додати за допомогою кнопки «Додати
документ» у розділі «Документи» на панелі «Деталі питання», яка пов’язує
документ із цим запитанням. Доступ до документів оцінювання
здійснюється з меню «Інструменти».
Розділ «Довідка про документи» містить детальнішу інформацію про те, як
пов'язати документи з питанням.
Якщо натиснути пункт меню «Документи оцінювання» в меню
«Інструменти», відобразиться вікно «Документи оцінювання», показане на
рисунку нижче.
Перегляньте або завантажте документи оцінювання через діалогове вікно.
Рисунок: Вікно документів оцінювання
Редактор параметрів
Багато стандартів кібербезпеки в CSET містять інформацію про параметри в
тексті вимог. Параметри позначаються символами [ ] у тексті вимог.
Наприклад, стандарт SP800-53 R4 App J містить такий параметр:
[Призначення: визначена організацією частота, щонайменше щорічно].
Редактор параметрів за замовчуванням дозволяє користувачеві замінити
текст параметра за замовчуванням на інший текст, визначений
користувачем.
Отже, у попередньому прикладі користувач може замінити параметр
[Призначення: частота, визначена організацією, щонайменше щорічно]
на слово Щорічно. Редактор параметрів за замовчуванням замінить усі
входження цього параметра на текст користувача.
Користувачі також можуть змінювати параметри в самому тексті вимоги за
допомогою вбудованого редактора параметрів. Просто клікніть у вікні
редагування параметра і збережіть його.
Вікно редактора параметрів за замовчуванням показано на рисунку нижче.
Рисунок: Вікно редактора параметрів за замовчуванням
Список параметрів. Список параметрів відображає список назв параметрів
і пов'язаних з ними значень параметрів за замовчуванням.
Стовпець «Назва параметра» містить назва параметра, яке не можна
змінити.
У стовпці «Значення параметра за замовчуванням» відображаються
поточні значення параметрів, пов'язані з назвами параметрів для вибраних
стандартів, як показано в тексті Вимоги на екрані Оцінювання. Значення
параметрів спочатку збігаються з назвою параметра, але користувач може
їх змінити. Щоб змінити значення параметра, двічі клікніть клітинку, що
містить потрібне Значення параметра за замовчуванням, і введіть новий
текст параметра. Зробіть те ж саме з будь-якими іншими параметрами.
Після завершення натисніть кнопку «ОК».
Після цього всі значення параметрів у тексті вимоги будуть оновлені
відповідно до введеного тексту для заданих назв параметрів протягом
усього оцінювання.
Рисунок: Вбудований редактор параметрів
Захищені функції
Вікно «Захищені функції» дозволяє користувачеві додати код
розблокування функції, щоб випустити певні стандарти або опитувальники,
недоступні широкому загалу. Вікно «Захищені функції» описано на рисунку
нижче.
Рисунок: Вікно «Захищені функції»
Текстові поля для введення коду розблокування функції
Текстові поля для введення коду розблокування функції дозволяють
користувачеві ввести код розблокування функції. Після введення
правильного коду у списку модулів відображатимуться всі доступні
стандарти або опитувальники, які можна додати до екрана вибору
стандартів CSET.
Кнопка «Увімкнути функції»
Після введення коду розблокування натисніть кнопку «Увімкнути
функцію».
Список модулів
Список модулів відображає перелік доступних стандартів або модулів
опитувальників, які розблоковані та доступні на сторінці «Вибір стандартів
з кібербезпеки».
Кнопка «Закрити»
Кнопка «Закрити» закриває діалогове вікно «Захищені функції» та фіксує
зміни.
Експорт в Excel
Вибравши посилання «Експортувати в Excel», ви завантажите копію
результатів оцінювання у форматі Excel.
Рисунок: Експорт до Excel
Примітка. Звіт у форматі Excel показує або Питання, або Вимоги. У звіті буде
показано той режим, який містить більше відповідей.
Модуль для імпорту
Примітка. Імпорт нового модуля призначений для використання
розробником. Користувачеві потрібен досвід роботи з JSON або XML.
Існує кілька різних варіантів імпортування нового набору запитань або
вимог у CSET. Користувач може відредагувати існуючий стандарт, створити
власний JSON або XML-модуль у CSET або використати схему в зовнішньому
редакторі коду і вставити її в CSET.
Частини імпорту нового модуля можна побачити на рисунку нижче.
Примітка. «Конструктор модулів» та «Імпортування модулі» доступні
лише у локальній інсталяції CSET.
Рисунок: Екран імпорту нового модуля
1. Список стандартів
Список стандартів дозволяє користувачеві експортувати будь-який
стандартний код у форматі XML або JSON. Він також дозволяє користувачеві
натиснути кнопку «Завантажити до редактора», щоб завантажити будь-
який стандартний код до редактора модулів, де його можна буде
відредагувати. Коли новий стандарт буде імпортовано, він з'явиться у
списку стандартів, а також на сторінці Стандарти кібербезпеки.
2. Редактор модулів
Редактор модулів - це місце, де користувач може редагувати або
створювати новий стандарт для імпорту. Редагуйте в межах інструменту
або перетягніть файл до редактора.
Підказка: використовуйте CTRL + пробіл для перегляду варіантів списку під
час кодування.
Використовуйте ALT + Shi + F для форматування коду під час завантаження
зі списку стандартів.
Примітка. Нові Стандарти можуть містити як Запитання, так і Вимоги. Якщо
ви використовуєте лише Вимоги, вони будуть продубльовані для набору
Запитань.
Короткі назви повинні бути унікальними при редагуванні раніше
використаного стандарту.
3. Перемикач JSON/XML
Використовуйте перемикач JSON/XML для вибору мови для нового
стандарту, що імпортується. Рекомендується використовувати JSON,
оскільки CSET має більше можливостей для перевірки та створення списків
у редакторі.
4. Кнопки схеми
Використовуйте кнопку «Схема», щоб завантажити схему коду для
редагування у зовнішньому редакторі. Перетягніть файл після завершення,
щоб побачити повідомлення про перевірку і відправити його.
5. Кнопка «Розгорнути редактор»
Натисніть кнопку «Розгорнути» для розгортання редактора модулів на
весь екран.
6. Вікно повідомлення про перевірку
У полі «Повідомлення про перевірку» відображаються помилки в коді, а
також помилки обробки.
7. Модуль супровідних документів
Користувачі можуть додавати супровідні документи і посилання до
новоствореного стандарту. Перетягніть файли посилань в область
перетягування файлів посилань, введіть заголовок і коротку назву. Щоб
видалити супровідні документи, скористайтеся червоною піктограмою
кошика або видаліть усі.
Порада. Якщо ви використовуєте поле Призначення в редакторі, щоб
спрямувати користувача до певного місця в супровідному документі, то
призначення має бути налаштоване в самому супровідному документі.
8. Кнопка «Надіслати»
Виберіть «Надіслати», коли код модуля завершено і він готовий до
створення.
Конструктор модулів
Конструктор модулів дозволяє користувачеві створити власний стандарт
або набір запитань. Примітка. «Конструктор модулів» та «Імпорт модулів»
доступні лише в локальній інсталяції CSET.
1. Список модулів
Список модулів відображає всі користувацькі модулі. Користувацький
модуль — це той, який не включено до складу програми CSET.
Рисунок: Список модулів
2. Кнопка «Клонувати»
Модуль можна клонувати, натиснувши цю кнопку. Створюється повна копія
модуля, включно з вимогами та запитаннями. Назва вихідного модуля
копіюється до нового клону з додаванням «(копія)». Користувач буде
перенаправлений на сторінку Деталі модуля для нового клону.
3. Кнопка «Видалити»
Користувацький модуль можна видалити за умови, що жоден інший модуль
не має вимог, заснованих на ньому. Це необхідно для збереження
цілісності даних.
4. Кнопка «Створити модуль»
Натискання кнопки «Створити модуль» запускає створення нового модуля.
Користувача буде перенаправлено на сторінку Деталі модуля.
5. Вміст Конструктора модулів
Створити новий модуль
Додати вимоги
Додати запитання
Керування документами
Створення нового модуля
Після натискання кнопки «Створити модуль» відкриється вікно інформації
про модуль.
Примітка. «Конструктор модулів» та «Імпорт модулів» доступні лише у
локальній інсталяції CSET.
Деталі модуля
Екран «Деталі модуля» містить основну інформацію про модуль, наприклад
назву та опис. Ім'я модуля, коротка назва та опис необхідні для створення
модуля.
Рисунок: Екран деталей модуля
Кнопка «Вимоги»
Якщо натиснути кнопку «Вимоги», буде показано вікно Список вимог.
Кнопка «Питання»
Якщо натиснути кнопку «Питання», відкривається вікно Список запитань.
Кнопка «Керування документами»
Якщо натиснути кнопку «Керувати документами», відкриється вікно
Стандартні документи.
Клонування та створення модулів у CSET
Функція Конструктор модулів / Module Builder розташована в меню
«Інструменти» у верхній лівій частині інформаційної панелі CSET.
Конструктор модулів дозволяє користувачеві створювати власний стандарт
або набір запитань на основі вже існуючого стандарту або оцінювання.
Примітка. «Конструктор модулів» та «Імпорт модулів» доступні лише для
локальної інсталяції CSET.
Рисунок: Меню інструментів
Параметри Конструктора модулів
Створити новий модуль
Додати вимоги
Додати запитання
Керування документами
Клонування модуля
1. Створення нового модуля
Рисунок: Кнопка «Створити модуль»
2. Кнопка «Створити модуль»
Натискання кнопки «Створити модуль» розпочне створення нового модуля
та відкриє сторінку «Інформація про модуль». Натиснувши посилання
«Домашня сторінка» у верхньому лівому куті світло-сірої навігаційної
панелі, ви повернетеся на домашню сторінку конструктра модулів і до
списку будь-яких раніше створених або клонованих модулів.
Рисунок: Детальна інформація про модуль
Ви можете будь-коли повернутися до списку модулів, натиснувши кнопку
«Домашня сторінка» (описано вище) або функцію «Повернутися до Списку
модулів» у нижньому лівому кутку екрану «Деталі модулів».
3. Список модулів (сторінка конструктора стандартів і наборів питань)
Список модулів відображає всі спеціальні модулі, створені та відредаговані
користувачем CSET.
Рисунок: Список модулів
Щоб ідентифікувати клонований модуль у списку модулів оловна сторінка
«Конструктор стандартів і наборів запитань»), назву оригінального модуля
копіюють до нового клону, додаючи до назви слово «(копія)».
Натиснувши на назву нового клонованого файлу, ви перейдете на сторінку
Деталі модуля, де ви зможете точно налаштувати такі деталі, як:
Назва модуля,
Коротка назва,
Опис і
Категорія галузі.
Клонування модуля
Існує два способи клонувати модуль у конструкторі модулів:
кнопка «Клонувати» на сторінці Список модулів «Конструктор
стандартів і наборів запитань» і
кнопка «Клонувати з існуючого модуля(ів)» на сторінці «Детальна
інформація про модуль».
1. Кнопка «Клонувати модуль»
Щоб клонувати існуючий модуль, почніть із натискання кнопки «Клонувати
модуль» для модуля, який ви бажаєте клонувати.
Буде створено копію модуля з вимогами і питаннями, які можна адаптувати
до вашої конкретної галузі або бізнес-функції.
Другий варіант для клонування існуючого модуля можна знайти на сторінці
Деталі модуля.
Щоб клонувати модуль, натисніть кнопку «Клонувати з наявного
модуля(ів)» у нижньому правому куті сторінки «Деталі модуля».
Рисунок: Детальна інформація про модуль
Після запуску функції клонування спливаюче меню дозволяє вибрати зі
списку можливих модулів для клонування.
Рисунок: Екран вибору модуля
Після вибору модуля для клонування (або кількох, якщо застосовано)
виберіть у спливаючому вікні кнопку «Додати питання та вимоги». Це
дозволить включити вибрані вами матеріали для оцінювання у ваше
клоноване оцінювання.
Після клонування вибраних вами матеріалів оцінювання ви можете вносити
подальші зміни до клонованого оцінювання.
На сторінці «Деталі модуля» і кнопках «Вимоги», «Питання» та «Керування
документами» в нижній правій частині екрана ви можете почати
редагування та налаштування свого модуля, використовуючи наведені
нижче кроки редагування.
2. Редагування вмісту клонованого модуля
Після завершення кроку клонування та редагування деталей модуля для
вашого клонованого модуля ви можете редагувати вміст модуля,
включаючи:
Відомості про вимоги,
Рівні забезпечення безпеки,
Додаткову інформацію,
Посилання,
Пов'язані питання.
Рисунок: Екран редагування модуля
Рисунок: Внутрішня частина вікна редагування відомостей про вимогу
Рисунок: Редагування посилань
3. Кнопка «Видалити модуль»
Користувацький модуль можна видалити за умови, що жоден інший модуль
не має вимог, заснованих на ньому. Це обмеження застосовується для
збереження цілісності даних оцінювання CSET.
Додавання вимог
Натискання кнопки «Вимоги» відкриває екран «Список вимог», де
користувач може додати нову вимогу до свого набору.
Рисунок: Вікно списку вимог
Натисніть кнопку «Створити вимогу», щоб відкрити діалогове вікно
«Додати вимогу». Усі поля є обов’язковими для додавання нової вимоги.
Рисунок: Вікно додавання вимоги
1. Випадаючий список категорій
Виберіть або введіть категорію групи контролю. Введення в це поле
відфільтрує випадаючий список за відповідними значеннями.
2. Випадаючий список «Заголовок групи питань»
Це значення, за яким групуються запитання під час відображення в режимі
запитань CSET.
3. Випадаючий список підкатегорій
Виберіть або введіть підкатегорію елемента керування.
4. Текстове поле Назва/ідентифікатор
Введіть назву або ідентифікатор Вимоги. Наприклад, Вимога 1 (Вим.1).
5. Текст вимоги
Введіть повний текст вимоги. Розриви рядків зберігаються для зручності
читання та відображаються під час відповіді в режимі вимог CSET.
6. Кнопка «Створити»
Натисніть кнопку «Створити», щоб зберегти нову вимогу та перейти до
екрана «Деталі вимоги».
7. Деталі вимоги
Рисунок: Деталі вимоги та рівень SAL
На цьому екрані також можна редагувати значення для
ідентифікатора/назви та тексту вимоги.
8. Рівень забезпечення безпеки
Виберіть усі рівні забезпечення безпеки, які можна застосувати до вимоги.
Далі додайте будь-яку додаткову інформацію для вимоги.
Рисунок: Додаткове текстове поле
Текстове поле «Додаткова інформація»
У цьому полі введіть будь-яку додаткову інформацію для Вимоги. Текст
можна форматувати за допомогою елементів керування та редагувати
безпосередньо як HTML, натиснувши кнопку </>.
9. Посилання
Рисунок: Додавання та керування документами
Кнопка «Керування документами»
Перед тим, як довідковий документ може бути приєднаний до вимоги, він
повинен бути пов'язаний з модулем. Натисніть на кнопку «Керування
документами», щоб перейти до Списку стандартних документів, де можна
встановити зв'язок.
1. Випадаючий список вихідних документів
Вихідний документ це основне розташування, яке містить вимоги до
стандарту. Тут буде перелічено документи, пов’язані з цим модулем.
2. Закладка
Необов'язкова опція. CSET відображатиме гіперпосилання в розділі
«Посилання» на екрані «Вимоги». Для зручності ці посилання
відкриватимуть довідковий документ або документ довідки і
переходитимуть безпосередньо на попередньо визначену закладку. Якщо
в документі є закладка, її можна ввести тут. Вводьте закладку без символу
хеш/фунт (#) на початку.
Натисніть кнопку «+», щоб додати посилання до Вимоги. До однієї вимоги
можна додати кілька посилань.
3. Довідкові документи
Довідковий документ це вторинне джерело інформації, яке може бути
корисним для оцінювача, щоб допомогти зрозуміти Вимогу. Вони
додаються так само, як вихідні документи, і перераховані окремо на екрані
вимог у CSET.
На цьому етапі користувач може додати прості запитання до індивідуальної
вимоги, щоб мати можливість використовувати режим запитань і вимог (не
обов'язково).
Рисунок: Додайте відповідні запитання
Додавання запитань
Користувач може почати додавати запитання до вимоги на екрані «Деталі
вимоги». Розділ «Пов'язані питання» знаходиться внизу сторінки.
Рисунок: Додавання пов'язаних запитань
Вимогам можуть бути призначені питання, щоб визначити збір відповідей
на основі запитань. На цьому екрані можна писати і додавати нові
запитання або вибирати запитання з великого набору запитань, визначених
у CSET.
Створити нове запитання
Якщо потрібно створити запитання, якого ще немає в CSET, його можна
створити, як показано на рисунку нижче.
Рисунок: Діалогове вікно створення нового запитання
1. Текстове поле запитання
Введіть тут текст нового запитання.
2. Випадаючий список «Заголовок групи питань»
Виберіть заголовок групи запитань, який класифікує питання.
3. Підкатегорія
Виберіть або введіть підкатегорію елемента керування.
4. Рівень забезпечення безпеки
Виберіть усі рівні безпеки, які застосовуються до запитання.
5. Кнопка «Додати нове запитання»
Натисніть, щоб створити нове запитання.
6. Пошук існуючих запитань
Введіть ключові слова, які відображатимуться у відповідних запитаннях, і
натисніть кнопку «Пошук». Буде складено список кандидатів. Чим більше
слів у запиті, тим менший набір запитань буде отримано в результаті.
Кожне запитання відображатиме значення заголовка групи запитань і
підкатегорії, а також рівні забезпечення безпеки, визначені для цього
запитання у вихідному модулі. Ви можете залишити їх як є або змінити
відповідно до нової Вимоги.
Рисунок: Пошук наявних запитань
Натисніть кнопку «+» для кожного запитання, яке ви хочете додати до
Вимоги. Потім натисніть «Додати вибрані запитання».
Керування документами
Список стандартних документів
На екрані «Стандартні документи» перелічено всі довідкові документи, які
постачаються з CSET або були додані для підтримки користувацьких
модулів.
Рисунок: Список стандартних документів
Кнопка імпорту документа
Відкриває діалогове вікно для вибору довідкового документа для
завантаження.
Фільтр
Введення даних у цьому полі призведе до відсікання відображеного списку
документів, щоб полегшити пошук потрібного документа.
Прапорці зі списком
У цьому списку можна позначити будь-які документи, які повинні бути
доступні для зв'язування з вимогою, як вихідний документ або довідковий
документ.
Примітка. Позначення документа в цьому списку лише робить його
доступним для включення при визначенні Вимоги.
Тенденції та порівняння декількох оцінок (агрегація)
Цей розділ містить детальні інструкції щодо роботи з кількома оцінками,
також відомими як Агрегація.
Робота з кількома оцінюваннями
Використання декількох оцінок, яке в CSET називається Агрегуванням,
означає, що ви хочете працювати з двома або більше оцінками, а не просто
створювати нову оцінку.
Щоб розпочати нову Агрегацію, виберіть опцію Тенденція або Порівняти в
меню Інструменти. Попередні файли «Тенденція» і «Порівняти»
зберігаються у списку. Ви можете отримати до них доступ, вибравши
відповідний пункт.
Рисунок: Сторінка збережених порівнянь
Якщо вибрати «Нове порівняння» або «Нова тенденція», відкриється вікно
«Деталі», показане нижче.
Рисунок: Екран «Порівняння деталей»
Існує два типи агрегації: «Тенденція» і «Порівняння».
Тенденція показує кумулятивні зміни в об'єкті з плином часу, аналізуючи
кілька оцінок одного і того ж об'єкта, виконаних, скажімо, щорічно.
Результатом аналізу є звіт.
Порівняння розглядає кілька оцінок для визначення їхніх сильних і слабких
сторін, що створює підсумковий звіт про відповідність вимогам. Це може
бути корисно для об'єкта, що складається з кількох ділянок, кожна з яких
має власну завершену оцінку. Результатом аналізу є звіт.
1. Завантаження файлів для оцінювання
Для початку додайте файли оцінювання для аналізу.
Натисніть кнопку «Вибрати оцінювання». У модальному вікні «Вибрати
оцінювання» виберіть потрібні файли оцінювання.
Для виконання функції агрегації мають бути принаймні два файли.
Рекомендується аналізувати не більше п’яти оцінок за один раз.
На рисунку нижче показано екран із доданими файлами та оцінкою
сумісності.
Рисунок: Спливаюче вікно «Оцінювання»
Оцінки сумісності відображають подібність стандартів, які розглядаються
завантаженими оцінками. Це не оцінка того, наскільки схожі відповіді серед
оцінок. Низький відсоток сумісності визначається невеликим або
мінімальним збігом у питаннях або вимогах, що містяться в завантажених
стандартах між оцінками.
Натисніть «ОК», щоб переглянути таблицю оцінювання.
Рисунок: Таблиця оцінювання
У цій таблиці перелічено оцінювання, які мають бути включені в агрегацію.
Частинами таблиці є:
Псевдонім: Псевдонім - це короткий псевдонім, який
використовується для швидкої ідентифікації оцінки в діаграмах аналізу.
Попередньо заповнену назву можна змінити, клацнувши в полі та ввівши
потрібний псевдонім.
Ім’я оцінювання: Ім'я, введене користувачем на вкладці
«Інформація» під час початкового оцінювання.
Дата оцінювання: Дата, введена користувачем на вкладці
«Інформація» під час початкового оцінювання.
У таблиці стандартів перелічено всі стандарти, які використовуються
у включених оцінюваннях, а також вказано, які оцінки використовують які
стандарти. Для ідентифікації оцінок використовується псевдонім.
2. Проведення аналізу
Після заповнення таблиці файлу оцінки натисніть кнопку «Далі», щоб
почати аналіз.
Для функцій «Тенденція» і «Порівняти» після натискання «Далі»
завантажиться екран результатів.
У розділі «Порівняти» буде кілька підзаголовків з інформацією для
перегляду. Натисніть кнопку «Створити звіт», щоб створити HTML-звіт про
результати, який міститиме текст, введений за результатами агрегування, а
також режим SAL з оцінки за замовчуванням.
Тенденція
Після заповнення таблиці файлу оцінки натисніть кнопку «Далі», щоб
розпочати аналіз тенденції.
Результати тенденції. Аналіз для агрегації тенденції представляє кілька
графіків. Перший графік відображає загальну відповідність у відсотках за
період часу, охоплений завантаженими оцінками, з окремими
компонентами та стандартами.
Рисунок: Тенденція загальної оцінки відповідності у відсотках
Крім того, формуються графіки, що показують п'ять найбільш і найменш
покращених тематичних областей безпеки, знову ж таки за період,
охоплений проаналізованими оцінюваннями.
Наступний графік показує відповідність кожної оцінки за категоріями. A, B,
C і т.д. - це псевдонім, присвоєний файлу оцінки.
Рисунок: Діаграма відсоткових порівнянь за категоріями
Звіт у форматі HTML можна створити, натиснувши кнопку «Створити звіт про
тенденції». Звіт міститиме інформацію з цього екрану аналізу, а також
режим і SAL з оцінки за замовчуванням.
Порівняння
Після заповнення таблиці файлу оцінювання натисніть кнопку Далі, щоб
розпочати порівняльний аналіз.
Порівняйте результати. Аналіз для агрегації «Порівняти» представляє
кілька графіків. Цей аналіз складніший, ніж аналіз для тренду.
Екран «Порівняти» має додаткові заголовки з вкладками. Це «Загальний
підсумок», «Найчастіше пропущені питання», «Порівняння
індивідуальних оцінок» і «Від кращого до гіршого».
Звіт у форматі HTML можна створити, натиснувши кнопку «Створити звіт
порівняння». Звіт міститиме інформацію з екранів аналізу, а також режим і
рівень за замовчуванням з оцінювання за замовчуванням.
Загальний підсумок. Ця вкладка відкривається за замовчуванням і
представляє інформацію про відповідність стандартам, компонентам і
категоріям безпеки.
Рисунок: Порівняння діаграми «Відповідність зрілості»
Часто пропущені запитання. На цій вкладці представлено таблицю
пропущених запитань з усіх проаналізованих оцінювань, згрупованих за
категоріями та підкатегоріями. Пропущеним вважається питання, на яке ви
відповіли «Ні». Відповіді «Так», «Н/Д», «АЛЬТ» або «Без відповіді» не
включені в таблицю.
Порівняння індивідуальних оцінок. Цей екран схожий на загальний
підсумок, за винятком того, що він розбиває інформацію за оцінками. У
таблиці показано загальну кількість відповідей, наданих за кожним
оцінюванням. Далі на діаграмі показано відповідність за компонентами та
стандартами, за оцінкою. Остання діаграма зліва показує SAL кожної оцінки,
щоб допомогти у визначенні об'єктів з високим рівнем ризику.
Рисунок: Порівняння рівнів забезпечення безпеки
Від найкращого до найгіршого. На цьому екрані користувачеві потрібно
вибрати тему зліва, перш ніж буде заповнена діаграма праворуч. На рисунку
нижче наведено приклад з вибраною темою «Керування обліковими
записами».
Бібліотека ресурсів
Бібліотека ресурсів - це чудовий спосіб допомогти користувачеві краще
зрозуміти та вирішити проблеми, виявлені під час оцінки, а також
підвищити безпеку його систем. Вона містить різноманітні стандарти, звіти,
шаблони, технічні документи, плани та інші документи, пов'язані з
кібербезпекою. На рисунку нижче показано вікно Бібліотеки ресурсів.
Рисунок: Вікно Бібліотеки ресурсів
Екран пошуку
Ви можете знайти документи в Бібліотеці ресурсів двома способами. У
цьому розділі обговорюється функція пошуку. Інший спосіб полягає у
використанні структури дерева документів, яка обговорюється у розділі
довідки Екран перегляду.
Екран пошуку Бібліотеки ресурсів дає змогу знайти список документів на
основі текстового рядка, введеного в пошуковий рядок. Перейшовши на
вкладку Пошук, ви відкриєте вікно пошуку. Введіть потрібний текстовий
рядок і клікніть на піктограму лупи або натисніть клавішу Enter на клавіатурі,
щоб розпочати пошук.
Зауваження! У Бібліотеці ресурсів зберігаються документи, а саме
стандарти мовою оригіналу. У пошуковому вікні параметр ля пошуку
необхідно також вводити мовою оригіналу.
На рисунку нижче показано приклад, коли користувач ввів рядок
«conngency» непередбачена ситуація»). У цьому випадку CSET шукає в
усіх документах входження слова «conngency», а потім ранжує і
представляє їх у впорядкованому списку в Результатах пошуку.
Рисунок: Екран пошуку в Бібліотеці ресурсів
Вкладка «Пошук». Натиснувши на вкладку «Пошук», ви побачите функції
пошуку в Бібліотеці ресурсів. Бібліотека ресурсів завжди відкривається на
вкладці «Пошук».
Панель пошуку. Панель пошуку дозволяє користувачеві вводити ключові
слова, пов'язані з потрібними документами. Користувач вводить одне або
кілька ключових слів і натискає кнопку «Пошук» або натискає клавішу
«Enter» на клавіатурі для виконання пошуку. Результати пошуку
відображаються у списку «Результати пошуку».
Список результатів пошуку. Список результатів пошуку відображає
документи, знайдені в результаті пошуку. Після відображення документів
користувач може натиснути на документ, щоб переглянути його вміст у
новій вкладці.
Спеціальні символи. Існує два різних типи спеціальних символів, які можна
використовувати в пошуку. Перший - це символ зірочки, який можна
використовувати для заміни одного або декількох символів. Наприклад,
якщо ввести текст «burn*» («пожежа*»), пошук здійснюватиметься по всіх
документах, що починається з цих символів, і користувач побачить
пріоритетний список, що починається з тем, пов'язаних з брандмауерами.
Без зірочки пошук буде шукати «burn» («пожежа»).
Точні символи можна замінити знаками питання. Наприклад, введення
тексту «NIST SP800-??» поверне документи NIST серії Спеціальних
публікацій / Special Publicaon 800, де останні два символи замінено
символом підстановки.
Рисунок: Результати пошуку з заміненими символами
Коли CSET шукає текстовий рядок, він оцінює як назву, так і вміст
документа. Хоча пошук оцінюватиме будь-який рядок символів,
рекомендується, щоб запис був якомога більш конкретним, щоб обмежити
та уточнити список. Пошук не є достатньо складним, щоб знайти схожі або
близькі за написанням слова. Неправильно написане слово, наприклад,
«Ciber-Сekurity», не дасть результатів.
Рисунок: Результати пошуку за параметром, який введений з помилками
Тематичний пошук. У більшості випадків користувач шукає певну тему,
однак можливість пошуку також може бути використана для пошуку типів
документів.
Екран перегляду
Доступні два способи перегляду документів у Бібліотеці ресурсів. Перший
за допомогою екрана пошуку. Другий за допомогою деревовидної
структури документа, показаної на рисунку нижче.
У структурі дерева документа всі теми в бібліотеці організовані в
ієрархічному форматі та відображаються як листкові вузли на одній або
кількох гілках, причому гілка представляє тему. Кожна основна тема може
бути розширена до більш детальних підтем, поки не залишиться лише
список документів. Гілки можуть мати один або кілька рівнів глибини.
Рисунок: Дерево документів бібліотеки ресурсів
Список дерева документів. Список «Дерево документів» відображає
документи в Бібліотеці ресурсів, організовані за категоріями у вигляді
розгорнутої деревовидної структури.
Структура дерева містить гілки (Категорії) і листя (Документи).
Гілки можна натиснути, щоб показати більше гілок або листків.
Листя можна натиснути, щоб відобразити вибрані документи на новій
вкладці.
Рисунок: Розгорнуте дерево документів
У прикладі, показаному на рисунку вище, гілку «Контроль доступу» в
розділі «Стандарти» було натиснуто, щоб відкрити та відобразити
документи, які знаходяться під нею. Будь-який вибраний документ
відкриється в новій вкладці для читання користувачем.
Також доступні опції пошуку за видавцем і роком публікації. Вони були
додані для тих користувачів, які шукають певні версії документів або
документи з певного джерела. Документи, перелічені під цими
заголовками, є тими самими, що й у решті частини дерева, але перелічені в
іншому порядку.
Профіль користувача
Меню «Профіль користувача» дозволяє користувачеві переглядати
інформацію користувача про свої оцінки, на сторінку з якими приводить
користувача посилання «Мої оцінки».
Меню довідки
Меню «Допомога», показане на рисунку нижче, дозволяє користувачеві
отримати доступ до довідкової документації для інструменту CSET.
Рисунок: Меню «Допомога»
Меню допомоги. Натискання кнопки меню «Допомога» відкриває меню
довідки.
Посібник СMMC. Натискання пункту меню «Посібник СММС» користувача
відкриває посібник користувача з використання підсистеми CMMC 2.0
оцінювання для CSET®. Посібник представлений в HTML форматі. Є
адаптацією і локалізацією оригінального посібника користувача.
Посібник RRA. Натискання пункту меню «Посібник RRA» користувача
відкриває посібник користувача з використання підсистеми оцінювання
готовності до впливу програм-вимагачів (Ransomware Readiness Assesment,
RRA) для CSET®. Посібник представлений в HTML форматі.
Посібник CSF. Натискання пункту меню «Посібник CSF» користувача
відкриває посібник користувача з використання підсистеми формування
підходу до розуміння, оцінки, планування та впровадження функцій
кібербезпеки для підприємств, які є об'єктами критичної інфраструктури, за
стандартом NIST (NIST Cyber Security Framework) у CSET®. Посібник
представлений в HTML форматі.
Також до CSET підключатимуться наступні посібники:
Посібник NIST. Натискання пункту меню «Посібник NIST» користувача
відкриває посібник користувача з використання підсистеми
формування підходу до розуміння, оцінки, планування та
впровадження функцій кібербезпеки для підприємств, які є об'єктами
критичної інфраструктури, за стандартом NIST (NIST Cyber Security
Framework) у CSET®. Посібник представлений в HTML форматі.
Посібник CRR. Натискання пункту меню «Посібник CRR» користувача
відкриває посібник користувача з використання підсистеми CISA Cyber
Resilience Review (CRR) - нетехнічного оцінювання операційної
стійкості та практик кібербезпеки організації для CSET®. Посібник
представлений в HTML форматі.
Посібник користувача. Натискання пункту меню «Посібник
користувача» користувача відкриває загальний посібник користувача
по роботі з системою CSET®. Посібник представлений в HTML форматі.
Документ про доступність. Натиснувши пункт меню «Юридична
довідка»«Документ про доступність», ви відкриєте документ, в якому
описано, як CSET вирішує проблеми доступності, включаючи використання
режиму високої контрастності та доступ до клавіатури.
Комбінації клавіш. Активуючи дії по опції меню «Комбінації клавіш», ви
відкриєте модальне вікно, у якому містить список всіх комбінацій клавіш,
доступних для користувачів інструмента CSET.
Рисунок: Комбінації клавіш, доступні у CSET
Умови використання. Натиснувши пункт меню «Юридична
довідка»«Умови використання», ви відкриєте модальне вікно Умови
використання CSET, які описують умови, з якими користувач погоджується
під час використання CSET.
Рисунок: Вікно Умови використання CSET
Активуючи дії по посиланню Ліцензії з відкритим кодом, користувач
ознайомлюється з текстом ліцензії на систему CSET.
Про CSET. Натиснувши на пункт меню «Про CSET», ви відкриєте вікно «Про
CSET», що містить інформацію про версію, посилання на веб-сайти з відео,
навчальними матеріалами та контактну інформацію команди CSET.
Рисунок: Вікно «Про нас»
Консультація. Натиснувши на пункт меню «Юридична
довідка»«Консультація», ви відкриєте вікно «Консультація», що містить
інформацію про відмову від відповідальності.
Рисунок: Вікно «Консультація»
Меню операцій
У цьому розділі розглядаються основні операційні меню інструменту
оцінювання CSET. Вони включають меню «Підготовка», меню
«Оцінювання» та меню «Результати».
Меню «Підготовка»
Меню «Підготовка» забезпечує швидкий доступ до екранів підготовки до
оцінювання. На рисунку нижче описано кнопки та меню.
Примітка. Меню «Підготовка» виглядатиме по-різному залежно від того,
що вибрано на екрані «Конфігурація оцінювання».
Вкладка «Підготовка»
Якщо натиснути кнопку «Підготовка», відобразиться екран Конфігурації
оцінювання.
Рисунок: Кнопка / меню «Підготувати»
Меню підготовки
Пункти меню «Підготовка» вказують на екрани, з якими стикається
користувач під час процесу підготовки. Зверніть увагу, що ви можете
побачити опцію SAL не для всіх оцінок.
Меню «Оцінювання»
Меню «Оцінювання» забезпечує швидкий доступ до запитань і категорій
оцінювання. На рисунку нижче показано навігаційне меню «Оцінювання».
Примітка. Меню «Оцінювання» виглядатиме по-різному залежно від
вибраного екрана галереї.
Навігація в режимі вимог відрізнятиметься тим, що вона показуватиме
стандарти на верхньому рівні, а потім категорії, вкладені під ними.
Рисунок: Кнопка/меню «Оцінювання»
Вкладка «Оцінювання»
Натиснувши вкладку «Оцінювання», відобразиться екран «Запитання»,
який відображається після процесу підготовки.
Перемикач навігації
Використовуйте перемикач навігації, щоб відкривати та закривати меню
навігації.
Меню оцінювання
У меню «Оцінювання» показує список усіх категорій запитань, які очікують
на завершення оцінювання. Користувач може швидко перейти до певної
категорії, натиснувши потрібний пункт меню.
Меню «Результати»
Меню «Результати» забезпечує швидкий доступ до екранів результатів
оцінювання та звітів. На рисунку нижче показано меню «Результати».
Примітка. Меню «Результати» виглядатиме по-різному залежно від того,
що вибрано на екрані «Галерея».
Рисунок: кнопка/меню результатів
Вкладка «Результати»
Натиснувши кнопку «Результати», ви побачите екран «Огляд результатів».
Перемикач навігації
Використовуйте перемикач навігації, щоб відкривати та закривати меню
навігації.
Меню результатів
Пункти меню «Результати» вказують на екрани, доступні користувачеві в
головному розділі «Результати».
Розділи головного вікна CSET
Ця частина посібника користувача містить інформацію про різні розділи
головного вікна CSET, зокрема розділи «Підготовка», «Діаграма»,
«Оцінювання» та «Результати».
Основні оцінювання CSET
У розділі «Підготовка» починається процес оцінювання.
Підготовчі екрани допомагають користувачеві швидко підготуватися до
відповідей на запитання, що стосуються його закладу, визначивши
запитання, на які він відповідатиме під час оцінювання. На наступних
сторінках підготовчі екрани будуть описані більш детально.
Галерея та сховище оцінювань CSET
Після входу в систему ви можете вибрати наявне оцінювання, імпортувати
наявне оцінювання або розпочати нове оцінювання з галереї оцінювання
CSET .
Ласкаво просимо до CSET
Якщо ви новачок у CSET або не маєте жодного збереженого оцінювання, вас
буде перенаправлено на сторінку «Ласкаво просимо до CSET» . На цій
сторінці ви можете розпочати нове оцінювання або імпортувати вже
існуюче .
Щоб почати нове оцінювання, користувачі вибирають вкладку «Нове
оцінювання» .
На рисунку нижче показано нову вкладку оцінювання в лівій частині
заголовка. Якщо вибрано, вкладка «Нове оцінювання» відкриває галерею
оцінок CSET , а потім вкладку «Мої оцінювання» , на якій показано всі
наявні оцінювання.
Рисунок: Екран «Мої оцінювання»
Рисунок: Галерея оцінювань для створення нового оцінювання у CSET
Після того, як користувач створив оцінювання в CSET, воно буде збережене
(під вибраним користувачем ім'ям) у сховищі «Мої оцінювання» .
Кнопка «Нове оцінювання»
Натискання кнопки «Нове оцінювання» запустить процес підготовки до
оцінювання, який дозволить користувачеві звернути увагу на важливі
аспекти, перш ніж він зможе почати відповідати на запитання.
Першим екраном процесу підготовки до оцінювання є екран конфігурації
оцінювання.
Конфігурація оцінювання
Екран конфігурації оцінювання знаходиться у меню бічної панелі на етапі
підготовки . Його також можна знайти на вкладці «Підготовка» у верхній
частині екрана. Екран конфігурації оцінювання містить розділ Інформація
про організацію , в якому зібрана наступна інформація:
Інформація про організацію
Назва оцінювання. У текстовому полі «Назва оцінювання»
користувач вводить назву оцінювання. Назва оцінювання також
відображатиметься в області заголовка головного вікна CSET та у
звітах і використовуватиметься як ім'я файлу оцінювання, якщо
користувач не змінить його спеціально.
Примітка. Назва оцінювання є обов'язковою для оцінювання CSET.
Якщо користувач не вказав його, система називатиме його «Нове
оцінювання».
Дата оцінювання. Вибір дати оцінювання дає змогу користувачеві
додати початкову дату оцінювання. Для цього потрібен дійсний
формат дати. Натиснувши на поле, користувач зможе вибрати дату з
календаря замість того, щоб вводити її вручну.
Назва об’єкта. У текстовому полі «Назва об’єкта» можна ввести назву
об'єкта або об'єктів, для яких створюється оцінка.
Місто/сайт і штат/область/регіон.
Текстові поля «Місцезнаходження» забезпечують введення тексту
для ідентифікації назви міста або сайту, для якого створюється
оцінювання, а також штату, провінції чи регіону, для якого
створюється оцінювання.
Примітка. Поля «Кредитна спілка», «Статут» і «Активи» будуть
доступні при використанні Інструментарію автоматизованої
перевірки кібербезпеки.
Інформація про оцінювання
Сторінка «Інформація про оцінювання» містить розділи «Управління
контактами» та «Демографічні дані».
Управління контактами
Управління контактами здійснюється на екрані інформації про оцінювання.
Рисунок: Панель керування контактами
Панель «Контакти» спочатку показує ім’я власника оцінки, а нижче буде
його адреса електронної пошти. Це користувач, який створив оцінку.
Щоб додати контакт, натисніть кнопку «Додати контакт».
Рисунок: Додавання нового контакту
1. Додавання нового контакту. Після натискання кнопки «Додати контакт»
відкриється діалогове вікно, показане нижче.
Рисунок: Форма для вводу інформації про новий контакт
Додайте інформацію про контакт у поля «Ім'я», «Прізвище» та «Електронна
пошта». Якщо контакт вже був раніше пов'язаний з користувачем, то поля
будуть заповнені автоматично.
Виберіть перемикач ролі Користувач або Фасілітатор. Фасілітатори можуть
додавати і видаляти контакти до оцінювання, а також видаляти оцінки. До
оцінювання завжди повинен бути призначений Фасілітатор.
Натисніть «Зберегти» або «Скасувати», щоб вийти з діалогового вікна.
Коли користувача додано до оцінювання, йому буде надіслано
електронного листа із запрошенням на це оцінювання CSET. Якщо
користувач ще не зареєструвався в обліковому записі CSET, йому буде
надіслано додатковий електронний лист із запрошенням пройти процес
реєстрації.
Рисунок: Додавання користувача до оцінювання та піктограми контактів
2. Редагування контакту. Натискання на іконку «Змінити» робить текстове
поле контакту доступним для редагування, щоб можна було внести зміни.
Натисніть кнопку «Зберегти», щоб зберегти зміни.
3. Видалення контакту. Натиснувши на іконку «Видалити», користувач
може видалити контакти з оцінки. З'явиться діалогове вікно з
підтвердженням.
Рисунок: Вікно видалення контакту
Якщо вибрати «Так», контакт буде видалено з дослідження. Якщо вибрати
«Ні», користувач залишиться пов'язаним з оцінюванням.
Екран секторної та демографічної інформації
Екран «Секторна та демографічна інформація» збирає секторальну та
демографічну інформацію про оцінювання. Заповнення цих полів дозволяє
інструменту CSET допомогти користувачеві визначити відповідні
Стандарти та питання, які будуть поставлені під час оцінювання. На
рисунку нижче описано екран «Секторна та демографічна інформація».
Рисунок: Екран секторної та демографічної інформації
1. Випадаючий список «Сектор». Випадаючий список «Сектор» містить
перелік галузей промисловості. Користувачі повинні вибрати сектор, який
найбільше відповідає їхній галузі.
2. Випадаючий список «Галузь». Випадаючий список «Галузь» містить
перелік галузей, що відповідають обраному сектору. Після того, як
користувач вибере Сектор, випадаючий список Галузь буде заповнений
інформацією, що відноситься до обраного сектору. Користувачі повинні
вибрати галузь, яка найбільше відповідає їхньому бізнесу.
3. Випадаючий список «Валова вартість активів». У випадаючому списку
«Валова вартість активів» користувач може вказати приблизну оцінку
вартості активів у доларах США. CSET використовує цю інформацію при
визначенні правильного Стандарту, який слід рекомендувати
користувачеві.
4. Випадаючий список «Відносні зусилля». Випадаючий список «Відносні
зусилля» містить список від невеликого (12 години) до 2 тижнів часу для
оцінювання.
5. Назва організації. У цьому полі слід ввести назву організації, що
оцінюється.
6. Бізнес-підрозділ/агентство. У цьому полі слід ввести назву підрозділу або
установи, що підлягає оцінюванню.
7. Випадаючий список «Тип організації». У випадаючому списку «Тип
організації» користувач може вибрати тип організації: галузь, федеральний
орган, штат, місцевий, територіальний або племінний.
8. Випадаючий список «Координатор». У випадаючому списку
«Координатор» користувач може вибрати координатора з контактів,
пов'язаних з оцінкою.
9. Критична послуга. Це поле призначене для введення критично важливої
послуги для оцінки.
10. Випадаючий список «Контактна особа критичної послуги». Цей
випадаючий список дозволяє користувачеві вибрати контактну особу з
числа контактів, пов'язаних з оцінкою.
Вибір рівня забезпечення безпеки CSET (SAL)
Цільовий рівень безпеки (Security Assurance Level, SAL) - це міра, яка
визначає рівень суворості, що застосовується до оцінки, а також визначає
кількість питань, необхідних для оцінки. Цей розділ містить інформацію про
процес визначення рівня забезпечення безпеки (SAL), різні типи SAL,
доступні в CSET, та варіанти вибору правильного SAL для поточного
оцінювання.
Основою для визначення цільового рівня безпеки (SAL) є відповіді
користувача на низку запитань, що стосуються потенційних найгірших
наслідків успішної кібератаки.
CSET розраховує рекомендації щодо SAL для оцінки організації, об'єкта,
системи або підсистеми ICS. Потім CSET забезпечує рівень кібербезпеки,
необхідний для захисту від найгіршого випадку.
Щодо стандартів і рекомендацій Національного інституту стандартів і
технологій (NIST), CSET також підтримує Федеральні стандарти обробки
інформації (FIPS) 199 для визначення категорії безпеки системи.
Після завершення SAL CSET визначає та звітує про прогалини в безпеці,
використовуючи порівняльний аналіз між відповідями на запитання
стандартів та результатами SAL.
CSET підтримує такі три типи вибору SAL:
Простий вибір SAL
Загальний вибір SAL
Вибір FIPS 199 SAL
Простий вибір SAL
Вікно простого вибору SAL дозволяє користувачеві швидко і легко вибрати
рівень забезпечення безпеки для оцінки. Ця опція найкраще підходить для
досвідчених користувачів, які знають відповідні рівні SAL або CIA для своєї
оцінки і не потребують допомоги для визначення відповідного SAL. На
рисунку нижче показано екран вибору простого SAL.
Рисунок: Стандартний екран вибору SAL
Віджет SAL
Віджет SAL це зображення лише для відображення, яке вказує
користувачеві, як його вибір SAL впливає на загальну оцінку SAL і CIA.
Проста кнопка SAL
Кнопка «Проста» стає синьою, коли її натиснуто. Це означає, що користувач
перебуває на екрані простого оцінювання.
Загальні кнопки SAL
Кнопки вибору Загального рівня SAL шкали оцінювання дозволяють
користувачеві швидко і легко вибрати загальну шкалу оцінювання для
оцінювання. Просто виберіть відповідний рівень, а потім натисніть кнопку
«Далі» для переходу до наступного екрану. Вибраний рівень буде
збережено та пов'язано з оцінкою.
За замовчуванням SAL має низький рівень. Доступні рівні включають:
Низький
Помірний
Високий
Дуже високий
Низький, помірний і високий рівні відповідають рівням, визначеним NIST у
стандартах NIST SP800-53, документах NIST SP800-60, томи 1 і 2, а також у
структурі рівнів на основі ризиків Антитерористичних стандартів хімічних
об'єктів (CFATS).
Дуже високий рівень визначається в CSET як такий, що охоплює всі засоби
контролю, включаючи всі необов'язкові вдосконалення. Він
використовується для того, щоб врахувати численні стандарти, наявні в
CSET.
Рівні потенційного впливу визначаються наступним чином:
Низький: можна очікувати, що втрата конфіденційності, цілісності
або доступності матиме обмежений негативний вплив на діяльність
організації, активи організації або окремих осіб.
Помірний: очікується, що втрата конфіденційності, цілісності або
доступності матиме серйозний негативний вплив на діяльність
організації, її активи або окремих осіб.
Високий: можна очікувати, що втрата конфіденційності, цілісності
або доступності матиме серйозний або катастрофічний негативний
вплив на діяльність організації, активи організації або окремих осіб.
Дуже високий: рівень «дуже високий» не визначений у стандарті
NIST SP800-53. Він включений до CSET для того, щоб врахувати
численні стандарти, доступні в інструменті, і визначається як такий,
що включає всі засоби контролю та всі додаткові засоби контролю.
Кнопки конфіденційності SAL
Кнопки вибору рівня конфіденційності дозволяють користувачеві вибрати
відповідний рівень конфіденційності, якщо він відомий. Загальний SAL
буде визначено на основі найвищого рівня, обраного між обраними
рівнями Конфіденційності, Цілісності та Доступності.
Кнопки рівня довіри до цілісності
Кнопки вибору рівня цілісності дозволяють користувачеві вибрати
відповідний рівень цілісності, якщо він відомий.
Загальний рівень довіри буде визначено на основі найвищого рівня,
обраного між рівнями Конфіденційності, Цілісності та Доступності.
Доступність. Кнопки SAL
Кнопки вибору рівня доступності дозволяють користувачеві вибрати
відповідний рівень доступності, якщо він відомий. Загальний рівень
доступності буде визначено на основі найвищого рівня, обраного між
рівнями Конфіденційності, Цілісності та Доступності.
Порада. CSET використовує лише один із типів SAL. Найвищий рейтинг SAL
з усіх типів - це те, на чому базуватиметься оцінка користувача.
Загальний вибір SAL
Екран «Загальний вибір SAL» допомагає користувачеві визначити
загальний SAL для оцінки, вибираючи потенційні впливи на людей та
економічні фактори у випадку, якщо системи скомпрометовані. Екран
загального вибору SAL описано на рисунку нижче.
Рисунок: Екран «Загальний вибір SAL»
Підхід до визначення загального SAL ґрунтується на наслідках. Щоб
скористатися цим екраном, просто перемістіть повзунок, щоб вирівняти
загальну кількість людей або загальну суму в доларах США, на яку вплине
кожне питання та категорія. Відповіді слід надавати як для впливу на місці,
так і за його межами.
Наприклад, щоб визначити числове значення потенційної травми, оцініть
кількість людей (на об’єкті або тих, хто постраждав за межами
підприємства), які можуть отримати травми без необхідності госпіталізації,
якщо сценарій реалізується.
Оцініть найгірший варіант, припускаючи повну робочу зміну з додаванням
усіх відвідувачів, підрядників, постачальників тощо, які також можуть
перебувати на об'єкті. Для оцінки за межами об'єкта припустіть пікову
завантаженість постраждалих районів. Наприклад, якщо подія вплине на
діловий район, то плануйте оцінку на основні робочі години. Розгляньте всі
аспекти сценарію, такі як ланцюгові реакції. За вибухом може виникнути
пожежа, яка може перекрити дороги або навіть призвести до витоку
токсичних матеріалів.
Розглядаючи питання, пов’язані з грошима, враховуйте всі витрати,
включаючи судові збори, штрафи, пені, витрати на заміну, компенсацію
тощо.
Загальний віджет SAL
Віджет SAL це зображення лише для відображення, яке вказує
користувачеві, як його вибір SAL впливає на загальний SAL.
Кнопка «Загальний SAL»
Кнопка «Загальний SAL» стане синьою, коли її вибрано. Це означає, що
користувач перебуває на екрані General SAL.
Загальні кнопки SAL
Кнопки вибору загального SAL дозволяють користувачеві швидко та легко
вибрати загальний SAL для оцінювання. Просто виберіть відповідний
рівень і натисніть кнопку «Далі», щоб перейти до наступного екрана.
Вибраний SAL буде збережено та пов’язано з оцінкою.
За замовчуванням SAL має низький рівень. Доступні рівні включають:
Низький
Помірний
Високий
Дуже високий
Низький, помірний і високий відповідають рівням, визначеним NIST у
стандартах NIST SP800-53, документах NIST SP800-60, томи 1 і 2, і структурі
рівнів на основі ризиків Стандартів боротьби з тероризмом хімічних
об’єктів (CFATS). Дуже високий визначається в CSET як такий, що включає
всі елементи керування, включаючи всі додаткові вдосконалення. Він
використовується для розміщення кількох стандартів, доступних у CSET.
Рівні потенційного впливу визначаються наступним чином:
Низький: можна очікувати, що втрата конфіденційності, цілісності
або доступності матиме обмежений несприятливий вплив на
організаційні операції, активи організації або осіб.
Помірний: можна очікувати, що втрата конфіденційності, цілісності
або доступності матиме серйозний негативний вплив на діяльність
організації, її активи або окремих осіб.
Високий: можна очікувати, що втрата конфіденційності, цілісності
або доступності матиме серйозний або катастрофічний
несприятливий вплив на організаційні операції, організаційні активи
або окремих осіб.
Дуже високий: Рівень «дуже високий» не визначений у стандарті
NIST SP800-53. Він включений до CSET для того, щоб врахувати
численні стандарти, доступні в інструменті, і визначається як такий,
що включає всі засоби контролю та всі додаткові засоби контролю.
Повзунок SAL на об'єкті
Повзунки «На об'єкті» вказують на потенційний вплив на людей або
об'єкти, що знаходяться на об'єкті.
Користувач повинен оцінити найгірше число, припускаючи повну робочу
зміну з додаванням відвідувачів, підрядників, постачальників тощо, які
також можуть бути на місці. Слід враховувати всі аспекти сценарію, такі як
ланцюгові реакції. Наприклад, за вибухом може виникнути пожежа, яка
може призвести до вивільнення токсичних матеріалів.
Повзунок SAL за межами території
Повзунки «За межами території» вказують на потенційний вплив на людей
або об’єкти, які знаходяться за межами території або в сусідніх громадах.
Користувач повинен оцінити найгірший випадок, припускаючи
максимальну кількість людей, присутніх у навколишніх громадах. Слід
розглянути всі аспекти сценарію, такі як ланцюгові реакції. Наприклад, за
вибухом може виникнути пожежа, яка може призвести до вивільнення
токсичних матеріалів.
Повзунковий перемикач SAL
Підказка. CSET використовує лише один із типів SAL. Найвищий показник
SAL з усіх - це те, на чому базуватиметься оцінка користувача.
Вміст загального вибору SAL:
Загальний SAL – Травматологія
Загальний SAL - Лікарня
Загальний SAL - Смерть
Загальний SAL - Капітальні активи
Загальний SAL - Економічний вплив
Загальний SAL - Очищення навколишнього середовища
Загальні положення SAL
Вибір FIPS 199 SAL
Після натискання посилання FIPS 199 SAL Визначення у верхній навігації по
таблетках на екрані SAL, дисплей зміниться на такий, як показано на рисунку
нижче. Ця сторінка Інструкції містить посилання на посібник та вихідні
документи.
Процес ґрунтується на публікації:
Федеральних стандартів обробки інформації / The Federal
Informaon Processing Standards (FIPS) 199,
Стандартів категоризації безпеки федеральної інформації та
інформаційних систем і Спеціальній публікації / Special Publicaon
(SP) 800-60 NIST,
Посібника із відображення типів інформації та інформаційних
систем до категорій безпеки.
Повзунковий перемикач SAL використовується для вказівки правильного
значення, присвоєного питанню. Загальний SAL визначається на основі
значень усіх повзункових перемикачів SAL на екрані.
Рисунок: Екран FIPS 199 SAL
Загальний вигляд віджету SAL
Віджет SAL - це зображення, доступне лише для відображення, яке показує
користувачеві, як його вибір SAL впливає на Загальний SAL.
Кнопка NIST/FIPS SAL
Кнопка NIST-60/FIPS-199 буде синьою. Це означає, що користувач
перебуває на екрані NIST/FIPS SAL.
Кнопки загального вибору SAL
Кнопки вибору загального рівня SAL дозволяють користувачеві швидко і
легко вибрати загальний рівень SAL для оцінки. Просто виберіть
відповідний рівень, а потім натисніть кнопку «Далі», щоб перейти до
наступного екрану. Вибраний рівень буде збережено та пов'язано з
оцінкою.
За замовчуванням SAL має низький рівень. Доступні рівні включають:
Низький
Помірний
Високий
Дуже високий
Низький, помірний і високий рівні відповідають рівням, визначеним NIST у
стандартах NIST SP800-53, документах NIST SP800-60, томи 1 і 2, а також у
структурі рівнів на основі ризиків Антитерористичних стандартів хімічних
об'єктів (CFATS).
Дуже високий рівень визначається в CSET як такий, що охоплює всі засоби
контролю, включаючи всі необов'язкові вдосконалення. Він
використовується для того, щоб врахувати численні стандарти, наявні в
CSET.
Рівні потенційного впливу визначаються наступним чином:
Низький: можна очікувати, що втрата конфіденційності, цілісності
або доступності матиме обмежений негативний вплив на діяльність
організації, активи організації або окремих осіб.
Помірний: Очікується, що втрата конфіденційності, цілісності або
доступності матиме серйозний негативний вплив на діяльність
організації, її активи або окремих осіб.
Високий: можна очікувати, що втрата конфіденційності, цілісності
або доступності матиме серйозний або катастрофічний негативний
вплив на діяльність організації, активи організації або окремих осіб.
Дуже високий: Рівень «дуже високий» не визначений у стандарті
NIST SP800-53. Він включений до CSET для того, щоб врахувати
численні стандарти, доступні в інструменті, і визначається як такий,
що включає всі засоби контролю та всі додаткові засоби контролю.
Кнопки конфіденційності SAL
Кнопки вибору рівня конфіденційності SAL дозволяють користувачеві
вибрати відповідний рівень конфіденційності, якщо він відомий. Загальний
рівень довіри буде визначено на основі найвищого рівня, обраного між
рівнями конфіденційності, цілісності та доступності.
Кнопки рівня цілісності SAL
Кнопки вибору цілісності SAL дозволяють користувачеві вибрати
відповідний рівень цілісності, якщо він відомий.
Загальний SAL буде визначено на основі найвищого рівня, вибраного між
вибраними конфіденційністю, рівні цілісності та доступності.
Кнопки доступності SAL
(Не зображено) Кнопки вибору SAL доступності дозволяють користувачеві
вибрати відповідний рівень доступності, якщо він відомий. Загальний SAL
буде визначено на основі найвищого рівня, вибраного між вибраними
рівнями конфіденційності, цілісності та доступності.
Виберіть типи інформації: після вибору рівнів SAL наступним кроком є
перевірка всіх відповідних типів інформації.
Рисунок: Вкладка «Вибрані типи інформації»
Коли тип інформації вибрано у списку ліворуч на екрані, CSET відображає
цей тип із значеннями в блоці праворуч і водночас динамічно оновлює
об’єднані значення у блоці вгорі, включаючи загальний SAL.
Для кожного типу інформації в CSET не дається конкретного визначення.
Щоб зрозуміти, як розбиті типи, необхідно відкрити керівні документи, про
які йшлося вище.
Дайте відповіді на запитання. Наступним кроком у визначенні SAL за
допомогою методу FIPS 199 є відповідь на короткий набір запитань, які
можуть регулювати рівень в одній або кількох категоріях. На рисунку нижче
показано екран після натискання вкладки «Відповісти на запитання».
Рисунок: Відповіді на запитання
Після того, як буде відкрито розділ «Відповіді на запитання», CSET покаже
набір з восьми запитань, які були взяті з документів NIST. Відповіді на ці
запитання можуть призвести до зміни значень SAL. Коли користувач
позначає відповідь «Так» або «Ні» на запитання, CSET динамічно оновлює
поля «З урахуванням системних запитань» у верхній частині екрана.
Значення SAL впливатиме на кількість запитань, на які потрібно відповісти в
режимах «Запитання» і «Стандартні вимоги».
Визначення спеціальних факторів. Останнім кроком є визначення
спеціальних факторів. Вони взяті з NIST SP800-60, Том II і є винятками для
тимчасових призначень впливу Низького, Помірного та Високого для
вибраного типу інформації.
Щоб додати текст «Особливі фактори» до значень SAL, клікніть
призначення значення цілі безпеки для цього типу інформації. Не всі типи
інформації пов’язані зі спеціальними факторами. Ті, які пов’язані зі
спеціальними факторами, мають синій колір тексту (показано в прапорцях
на рисунку). Клацнувши посилання, ви введете текст спеціальних факторів у
поле, показане на рисунку. Визначити особливі фактори.
Наприклад, вибравши пункт «Авіаперевезення», ви отримаєте значення
конфіденційності «Низьке», яке буде позначено синім кольором.
Клацнувши на слові «Низьке», ви введете текст «Особливий фактор» у
блоці внизу екрана. Цей текст можна повністю редагувати.
Рисунок: Визначення особливих факторів
Якщо позначити інший тип інформації і ввести текст особливого фактору в
блок для тієї ж мети безпеки, попередній текст у текстових областях
спеціальних факторів буде замінено. Для підтвердження того, що текст буде
замінено, буде показано попереджувальне повідомлення, подібне до того,
що показано на рисунку нижче. Для кожної цілі безпеки можна
використовувати лише один спеціальний фактор.
Порада. CSET використовує лише один із типів SAL. Оцінка користувача
базуватиметься на найвищому з усіх рейтингів SAL.
Вибір режиму
Вибір режиму доступний у верхній частині сторінки Оцінювання і дозволяє
користувачеві визначити загальний підхід, який він бажає застосувати при
виконанні оцінювання. На рисунку нижче описано екран вибору режиму.
Рисунок: Екран вибору режиму
Режим питань. Підхід, заснований на питаннях, ставить прості запитання
під час оцінювання. Питання визначаються на основі вимог обраного
стандарту кібербезпеки. Всі питання оцінюються в кінцевих результатах.
Найбільш досвідчені користувачі виберуть підхід на основі запитань.
Режим вимог: Підхід на основі вимог використовує точне формулювання
вимог з обраного стандарту у вигляді питань, і кожна вимога повинна бути
повністю виконана, щоб відповідати вимогам. Цей підхід найкраще
використовувати в галузях, які регулюються певним стандартом.
Режим оцінювання
Підхід на основі запитань
Було підготовлено вичерпний набір запитань, сформульованих простою
мовою, що охоплює всі теми та вимоги, які містяться в основних стандартах
промислових систем управління (ICS) та інформаційних технологій (IT).
Кожне питання сформульоване таким чином, що на нього можна відповісти
«Так» або «Ні» (на питання можна також відповісти, використовуючи
альтернативні варіанти відповідей або не використовуючи їх; однак,
відповіді з кількох частин не використовуються). Повний набір запитань
фільтрується та обмежується вбраними Стандартами. Режим питань
рекомендується для більшості оцінювань і встановлюється за
замовчуванням.
Підхід на основі вимог
Режим вимог був розроблений в першу чергу для регульованих галузей,
таких як ядерна або електроенергетика. Цей режим розроблений таким
чином, щоб користувач бачив точне формулювання кожної вимоги в
Стандарті. Запитання необхідно прочитати і відповісти на нього повністю.
Підхід на основі запитань
Якщо вибрано підхід на основі питань, то буде доступно більшість
стандартів. Виберіть Стандарт або Стандарти, які застосовуються до системи
та галузі або сектору, що оцінюються.
Якщо обрано лише один Стандарт, то ключові запитання пропонують
невеликий вибір найвищих вимог, призначених для оцінювання
обмеженого обсягу або часу, тоді як універсальні запитання пропонують
найповнішу, загальну оцінку.
Якщо вибрано кілька стандартів, то питання будуть являти собою
надмножину всіх вибраних стандартів.
Рекомендується включити універсальні запитання. Стандарти можуть
містити деякі питання, які є настільки унікальними, що вони не входять до
універсального набору. Це означає, що вибір як універсальних запитань, так
і Стандарту призведе до набору запитань, який потенційно буде більшим,
ніж самі універсальні запитання. Ці ситуації детально описані нижче.
На рисунку нижче представлено три випадки.
Рисунок: Набори запитань для режиму запитань
Випадок 1. У цьому випадку вибрано лише опцію «Універсальні
запитання». Як показано на діаграмі, відображаються всі універсальні
запитання.
Випадок 2. Цей випадок показує два варіанти. Якщо було вибрано лише
Стандарт А, то будуть представлені лише ті запитання, що входять до
внутрішнього кола.
Універсальні запитання за межами внутрішнього кола не були б включені в
оцінювання.
Другий варіант показує, що було обрано як Стандарт А, так і Універсальні
запитання. Оскільки Стандарт повністю включений до набору
універсальних запитань, отримані запитання для оцінювання
виглядатимуть так само, як у прикладі 1, набір універсальних запитань.
Випадок 3. На відміну від прикладу 2, вибраний Стандарт Б містить
додаткові запитання, яких немає в наборі універсальних запитань.
Якби було вибрано лише Стандартний варіант Б, то в оцінюванні було б
відображено все, що показано в еліпсі. Якби було вибрано обидва набори
стандартних та універсальних запитань, то загальна оцінка була б більшою,
ніж у прикладі 1, і включала б комбінацію як круглих (універсальних), так і
еліптичних форм (стандартне запитання Б).
Підхід на основі вимог
Якщо обрано підхід, заснований на вимогах, то опція «Універсальні
запитання» вимикається. Якщо вибрано кілька Стандартів, то для кожного
з них буде показано абсолютно різний набір вимог. На рисунку нижче
представлено два випадки.
Рисунок: Режим вимог
Випадок 1. У цьому випадку вибрано один Стандарт, і на екрані запитань
будуть представлені тільки вимоги до Стандарту А.
Випадок 2. Цей другий випадок показує вибір декількох Стандартів.
Незалежно від того, скільки стандартів вибрано, інструмент покаже повний
набір вимог для кожного з них, незалежно від того, чи вони перетинаються.
Оскільки формулювання в стандарті є унікальними, кожна вимога буде
наведена дослівно. У додатку вимоги стандартів просто послідовно
відображатимуться на дереві запитань.
Стандарти, доступні в обох режимах
Багато стандартів доступні як в режимі запитань, так і в режимі вимог. У
режимі запитань твердження зі стандарту можна розбити на кілька
запитань, щоб користувач міг отримати часткове зарахування за виконання
частини вимоги. Це також робить кожне питання коротшим, більш прямим
і легшим для розуміння. У режимі «Вимоги» формулювання вимоги
подається так, як воно записане у Стандарті. Воно може бути довшим і
охоплювати кілька заходів щодо відповідності. Часткова відповідність у
цьому режимі вважається невідповідністю.
Екран діаграми
Побудова мережевої діаграми
У цьому розділі наведено докладні інструкції щодо створення діаграми
мережі та використання інструменту побудови діаграм. Діаграми можуть
бути створені в CSET або імпортовані з діаграм, створених у попередніх
випусках CSET.
CSET містить інструмент для рисування, який є цінним у кількох аспектах.
По-перше, надає місце для графічного зображення системи
управління або мережі інформаційних технологій (ІТ).
По-друге, він включає в себе прості функції аналізу мережі для
виявлення вразливих місць і рекомендацій щодо захисту.
По-третє, він використовується для створення основи для
набору запитань, які включаються в загальну оцінку та аналіз.
За допомогою цього інструменту рисування користувач може:
Побудувати діаграму з нуля, використовуючи інструменти
рисування та доступні об'єкти і фігури.
Імпортувати попередньо створений шаблон зі списку шаблонів,
наданих разом з інструментом.
Розділ оцінювання
У розділі оцінювання користувач відповідає на запитання, пов'язані з
вибраними Стандартами або Профілем та Рівнем забезпечення безпеки. У
наступних розділах буде детально описано процес оцінювання.
Екран оцінювання
Основна взаємодія, яка відбувається в CSET, відбувається на екрані
оцінювання. Екран оцінювання відображає набори запитань або вимог, які
користувач повинен прочитати та відповісти на них, виходячи з обраного
режиму оцінювання, обраних стандартів, рівня забезпечення безпеки (SAL)
та компонентів, що використовуються в інструменті діаграми. Результати
комбінованих відповідей на поставлені запитання допоможуть скласти
чітке уявлення про стан кібербезпеки організації та зрозуміти її позицію
щодо кібербезпеки.
Заповнення частини оцінки, що складається з запитань, займає найбільше
часу. Процес відповіді на запитання не є складним, але може бути
виснажливим. Рекомендується, щоб користувач планував заздалегідь і
усвідомлював, що для точних відповідей на всі запитання знадобиться
кілька годин або навіть днів. Чим більше часу буде витрачено на розуміння
суті кожного запитання, а потім на його обговорення в команді, тим
ціннішою буде оцінка. Витратьте час, щоб повністю зрозуміти сенс кожного
питання, а потім надайте відповідь, яка найкраще відповідає поточній
ситуації. Якщо під час оцінювання відбувається оновлення, коментарі
можна пов'язати з відповідними питаннями, щоб задокументувати цю
діяльність.
Екран Оцінювання відображатиме різний вміст залежно від обраного
режиму оцінювання. Для отримання додаткової інформації про різний
вміст, що відображається залежно від режиму оцінювання.
На рисунку нижче показано основні розділи екрана «Оцінювання».
Рисунок: Екран оцінювання
1. Заголовок оцінювання
Заголовок оцінювання містить елементи керування для керування
запитаннями, що відображаються в розділі «Текст запитання/вимоги».
2. Текст основної категорії запитання
Зелений текст основної категорії запитання відображає категорії високого
рівня, до яких належать групи запитань або вимог.
3. Заголовок питання
Якщо користувач відповідає «Ні» на головне запитання (відображається
тільки в режимі питань), всі наступні запитання в категорії будуть позначені
як «Ні». Відповіді «Так» або «Ні» не мають такої ж поведінки.
4. Текст запитання/вимоги
Текст запитання/вимоги містить запитання та вимоги до оцінювання, а
також відповіді та додаткову інформацію.
Відповідями на всі питання будуть «Так», «Ні», «Не завершено» та
«Альтернативна відповідь».
Процес дуже простий. Детально прочитайте запитання, а потім дайте
відповідь «Так», якщо формулювання запитання та його мета відповідають
дійсності, або «Ні», якщо формулювання запитання та його мета не
відповідають дійсності.
Кольори відповідей відображають надану відповідь. Кольори дають
швидке візуальне уявлення про те, як користувач справляється з кожною
категорією.
Відповіді «Так» - зелені, «Ні» - червоні, «Не завершено» (НД) - сині, а
відповіді Альт - світло-зелені.
Варіант «Не завершено» (НД) використовується, коли питання не
стосується системи або об'єкта. Вона повинна використовуватися з
обережністю і має наслідком зняття питання з розгляду. Будь-які питання,
позначені як «НД», не відображатимуться в онлайн-аналізі або звітах як
прогалини або пропущені відповіді; вони також не зараховуватимуться як
позитивна відповідь.
Позначка Альт означає «Альтернативний» і використовується, коли для
вирішення проблеми в запитанні використовується альтернативний або
інший метод. Наприклад, може бути поставлене запитання про те, чи
знаходяться сервери за замкненими дверима з певними обмеженнями
доступу. Можливо, на підприємстві немає замкнених дверей, але
натомість на вході до серверної кімнати стоїть охоронець. Цей інший підхід
(охорона) не дає прямої відповіді на запитання, але користувач може
відчути, що цей альтернативний підхід до захисту приміщення є таким
самим або навіть кращим, ніж замки на дверях. Альтернативний метод
оцінюється позитивно, як і відповідь «Так».
Якщо вибрано альтернативний метод, користувач повинен заповнити опис
в текстовому полі під міткою «Альтернативний опис/обґрунтування».
Режими оцінювання
Запитання на екрані оцінювання змінюватимуться залежно від вибраного
режиму оцінювання. Запитання організовано за категоріями, і залежно від
обраного режиму відображається різна інформація.
Режим питань
На екрані оцінювання в режимі питань відображаються прості для читання
запитання. Поруч із запитаннями міститься додаткова інформація з
відповідної вимоги у відповідному стандарті.
Режим вимог
На екрані оцінки в режимі вимог відображається точне формулювання
тексту вимоги у відповідному стандарті.
Вміст режимів оцінювання
Екран оцінювання в режимі запитань
На рисунку нижче показано екран оцінювання в режимі питань. Режим
питань є рекомендованим режимом оцінювання для більшості
користувачів.
Рисунок: Екран оцінювання в режимі питань
Перемикач режиму питань. Кнопка «Режим питань» позначена синім
кольором, коли її вибрано. Це означає, що користувач перебуває в режимі
запитань.
Режим запитань Текст запитання. Запитання в режимі питань підготовлені
з використанням простої мови. Питання охоплюють всі теми та вимоги, що
містяться в основних стандартах ICS та ІТ-стандартах. Запитання, як правило,
досить короткі порівняно з відповідними вимогами базового стандарту.
Текст запитання, як правило, є підмножиною тексту відповідної вимоги.
Режим вимог екрану оцінювання
На рисунку нижче показано екран Оцінювання в режимі вимоги. Режим
вимог рекомендується для регульованих галузей, де точне формулювання
стандарту є важливим.
Рисунок: Екран оцінювання в режимі вимог
Перемикач режиму вимог. Кнопка режиму вимог синього кольору, коли
вона вибрана. Це означає, що користувач перебуває на екрані режиму
вимог.
Ідентифікатор вимоги. Режим вимог відображає ідентифікатор вимоги
замість номера запитання.
Текст вимоги. Текст вимоги відображає вимоги безпосередньо зі стандарту,
на які користувачі повинні відповісти.
Категорії оцінювання
Набори запитань розділені на категорії залежно від вибраного режиму
оцінювання, стандартів і SAL. Різні категорії відображаються в кількох
областях на екрані запитань залежно від режиму оцінювання, наприклад
елемент керування навігацією, заголовки над запитаннями та в розділі
подробиць запитання.
На рисунку нижче показано кілька прикладів категорій запитань у режимі
питань.
Рисунок: Категорії питань
1. Основний текст категорії
Усі запитання в CSET згруповані за основними категоріями. Основні
категорії - це групування запитань високого рівня, які використовуються як
групування високого рівня для покращення навігації та в результатах
оцінювання.
2. Текст підкатегорії
Текст підкатегорії стандарту - це категорія, пов'язана з питанням у тексті
вимог відповідного стандарту. Категорію вимог стандарту можна знайти у
відповідній довідковій документації, пов'язаній з кожним запитанням.
3. Текст для конкретного стандарту
Текст для конкретного стандарту - це категорія, пов'язана з питанням у
тексті вимог відповідного стандарту. Категорію вимог стандарту можна
знайти у відповідній довідковій документації, пов'язаній з кожним
питанням.
Деталі питання, ресурси та коментарі
Деталі питання, ресурси та коментарі містять детальну інформацію про
поточне вибране питання. Користувач також може додавати коментарі,
відкриття та довідкові документи до запитання чи вимоги, а також
позначати запитання чи вимогу для подальшого перегляду. На рисунку
нижче показано екран «Деталі питання, ресурси та коментарі».
Рисунок: Екран «Деталі питання, ресурси та коментарі»
1. Перемикач «Питання/Вимоги»
Перемикач «Питання/Вимоги» дозволяє користувачеві переключатися між
режимом питання та режимом вимоги.
2. Кнопка «Згорнути/Розгорнути все»
Натисніть кнопку «Згорнути все», щоб закрити всі категорії запитань, і
кнопку «Розгорнути все», щоб відкрити всі категорії питань.
3. Фільтр
Натиснувши кнопку «Фільтр», користувач може відфільтрувати запитання
оцінювання за відповідями, коментарями, відкриттями чи позначками для
перегляду.
4. Прапорець «Авто-показ підказок»
Якщо натиснути прапорець «Авто-показ підказок», додаткова інформація
автоматично завантажуватиметься під час прокручування запитань
користувачем.
Рисунок: Кнопки «Згорнути все», «Розгорнути все», «Фільтр», прапорець
«Авто-показ підказок»
5. Піктограми питань/вимог
Піктограми запитань/вимог детально описані нижче.
Піктограма «Додатково». Натискання піктограми «Додатково» відкриває
додаткову інформацію до запитання.
Піктограма «Коментарі». Натискання піктограми «Коментарі» відкриває
розділ «Коментарі» на панелі «Деталі та ресурси», що дозволяє
користувачеві вводити коментарі, пов’язані з поточним запитанням або
вимогою.
Піктограма «Документи/Артефакти». Натискання піктограми «Документи»
відкриває розділ «Документи/Артефакти» на панелі «Деталі та ресурси»,
що дозволяє користувачеві пов’язати відповідні документи з питанням або
вимогою.
Піктограма «Посилання». Натискання піктограми «Посилання» відкриває
розділ «Посилання» на панелі «Деталі та ресурси», що дозволяє
користувачеві відкривати стандарти, які пов’язані із запитанням для
оцінювання та на які посилаються в ньому.
Піктограма «Спостереження». Натискання піктограми «Спостереження»
відкриває розділ «Спостереження» на панелі «Деталі та ресурси», що
дозволяє користувачеві створити запис про відкриття, який буде пов’язано
із запитанням або вимогою.
Піктограма «Зворотній зв'язок». Натискання піктограми «Зворотній
зв'язок» відкриває розділ «Зворотній зв'язок» на панелі «Деталі та
ресурси», що дозволяє користувачеві залишити відгук для DHS або FAA.
6. Індикатор прогресу відповіді на запитання
Індикатор прогресу запитання показує, скільки запитань користувач
заповнив. Позначка означає, що на всі запитання категорії надано
відповіді.
7. Кнопки відповідей
Натисніть «Так», «Ні», «НД» або «Альт», щоб відповісти на запитання.
8. Прапорець «Позначити для перегляду»
Прапорець «Позначити для перегляду» дозволяє користувачеві позначити
запитання чи вимогу для подальшого перегляду.
Деталі питання або вимоги
Розділ «Деталі питання або вимоги» міститиме різні елементи керування
та текст залежно від вибраного режиму оцінювання.
На рисунку нижче показано розділ «Деталі» в режимі питання.
Рисунок: Розділ «Деталі» в режимі запитання
1. Текст заголовка
Текст заголовка - це текстовий ідентифікатор питання, який зазвичай
пов'язаний зі стандартом, до якого воно належить.
2. Текст категорії
Текст категорії - це стандартна категорія питання. Запитання зазвичай
знаходяться в декількох категоріях. Текст категорії тут вказує на категорію у
відповідному Стандарті, до якої належить це запитання.
3. Текст «Цільовий рівень безпеки»
Текст «Цільовий рівень безпеки» це найвищий SAL у питанні. Усі
запитання та вимоги мають значення SAL.
Текст «Цільовий рівень безпеки» вказує на SAL для запитання. Коли
користувачі вибирають SAL і стандарт під час процесу підготовки, вони
отримають усі запитання у вибраному стандарті, які мають такий самий або
нижчий рівень SAL, який вони вибрали. Наприклад, якщо користувачі
вибрали високий рівень SAL і стандарт ключа, вони отримають усі питання
в ключі, які є високим, середнім і низьким.
4. Текст Стандартної вимоги
Текст стандартної спеціальної вимоги це текст вимоги зі стандарту,
пов'язаний із запитанням. Якщо користувач перебуває в режимі
оцінювання вимог, текст стандартної вимоги буде таким самим, як і текст
запитання. Примітка: Існує також багато випадків, коли текст Стандартної
вимоги збігається з текстом запитання.
Деталі питання у режимі вимоги
На рисунку нижче показано розділ «Деталі» у режимі вимоги.
Рисунок: Розділі «Деталі» у режимі вимоги
Запитання, пов’язані з цією вимогою. Основна відмінність між режимами
питання та вимоги» полягає в тому, що в режимі вимоги є додаткові
запитання, пов’язані з текстом цієї вимоги: у тексті «Питання, пов’язані
з цією вимогою» відображаються всі запитання, визначені цією вимогою.
Додаткові вказівки
Питання та вимоги на екрані оцінювання майже завжди містять додаткову
інформацію та/або вказівки. На рисунку нижче описано екран оцінювання з
акцентом на додаткову інформацію.
Рисунок: Додаткова інформація до питання
Додатковий текст. Додатковий текст - це читабельне пояснення та
деталізація теми, що міститься в запитанні або вимогах. Текст, як правило,
береться з самого Стандарту. Тому можуть існувати запитання, які не мають
додаткової інформації, якщо вони не були включені до Стандарту. Якщо
набір запитань було взято з однієї довгої вимоги, додатковий текст може
повторюватися для кількох запитань.
Коментарі
CSET дозволяє користувачеві додавати коментарі до будь-якого питання або
вимоги під час процесу оцінювання. На рисунку нижче описано процес
додавання коментарів.
Рисунок: Розділ коментарів на екрані оцінювання
Поле коментарів. На піктограмі «Коментарі» відображається червона
крапка, якщо до питання або вимоги додані коментарі. Це дозволяє
користувачеві легко бачити, до яких питань є коментарі, при прокручуванні
списку питань.
Текстове поле «Коментарі» дозволяє користувачеві додавати коментарі або
іншу текстову інформацію, пов'язану з питанням або вимогою. Коментарі
можна додавати з різних причин, таких як деталі реалізації, причини
позначення питання для перегляду, обґрунтування відповіді тощо.
У деяких оцінюваннях текстове поле для введення коментарів
використовується в рідкісних випадках; в інших випадках коментарі
використовуються для запису методу перевірки відповідей. Це поле може
бути потужним інструментом для підтримки якості оцінювання, особливо
коли до відповіді додаються документи, що підтверджують емпіричні дані.
Документи
CSET дозволяє користувачеві пов’язувати документи з будь-яким
запитанням чи вимогою під час процесу оцінювання. На рисунку нижче
описано процес роботи з документами.
Рисунок: Розділ «Документи/Артефакти»
Піктограма «Документи/Артефакти».
Піктограма «Документи/Артефакти» із запитаннями» відображає червону
крапку, якщо запитання чи вимога мають пов’язані документи/артефакти.
Це дозволяє користувачеві легко побачити, які запитання мають пов'язані з
ними документи, при прокручуванні списку запитань.
Список документів/артефактів із запитаннями відображає всі документи,
пов’язані з вибраним запитанням. Тут відображається назва документа та
ім’я файлу, а також піктограми «Пов’язані питання», «Видалити документ»
і «Експортувати документ». Ім’я файлу це ім’я фізичного файлу з його
розширенням.
Піктограма «Пов'язані питання»
Піктограма «Пов’язані запитання» відкриває вікно «Пов’язані питання», у
якому відображаються всі запитання, з якими пов’язаний документ.
Рисунок: Вікно пов'язаних питань
Піктограма «Видалити документ»
Піктограма «Видалити документ» дозволяє користувачеві видалити зв’язок
між документом і запитанням. Якщо документ не пов'язаний з іншим
запитанням, він буде видалений з оцінювання.
Піктограма «Завантажити документ»
Піктограма «Завантажити документ» дозволяє користувачеві завантажити
документ із оцінювання, щоб його можна було переглянути. Натискання
кнопки «Завантажити документ» збереже копію файлу документа у
вказаному місці.
Додати документ. Натиснувши кнопку «Додати документ», відкриється
діалогове вікно «Відкрити файл», що дозволяє користувачеві перейти до
файлу документа, який він хоче пов'язати з питанням або вимогою. Після
вибору документ буде відображений у списку документів із запитаннями
під кнопкою «Додати документ».
Посилання
Розділ «Посилання» містить посилання на відповідні джерела та довідкову
документацію, як показано на рисунку нижче.
Рисунок: Розділ посилань із детальною інформацією про запитання
Піктограма «Посилання»: відображаються всі посилання, пов'язані з
питанням/вимогою.
Для вибраного стандарту завжди буде принаймні один документ-джерело.
Якщо джерел більше одного, то всі вони будуть показані у списку
гіперпосилань під заголовком.
Спостереження
Розділ «Спостереження» в деталях питання дозволяє користувачеві
пов'язати інформацію про спостереження з питанням або вимогою. На
рисунку нижче показано розділ спостережень у деталях запитання.
Рисунок: Розділ деталей спостережень
Піктограма «Спостереження»: піктограма «Спостереження» відображає
червону крапку, коли питання або вимога мають пов'язані з ними
спостереження. Це дозволяє користувачеві легко побачити, до яких питань
є зауваження при прокручуванні списку питань.
Додати спостереження. Натискання кнопки «Додати спостереження»
відкриває вікно «Деталі спостереження», яке дозволяє користувачеві
ввести всю інформацію, пов'язану зі спостереженнями до запитання.
Вікно «Деталі спостереження» дозволяє користувачеві вводити інформацію
про питання або вимогу, на які немає відповіді. Будь-яке питання або
вимога, на яке було отримано відповідь «Ні», потенційно може мати запис
про спостереження. Зауваження містять інформацію про проблему,
потенційні наслідки проблеми, рекомендації щодо її усунення та потенційні
вразливості, пов'язані з проблемою. До записів спостережень також можуть
бути призначені відповідальні особи, які відповідатимуть за усунення
проблем, пов'язаних із записом спостереження.
Рисунок: Вікно «Деталі спостереження»
1.Текстове поле заголовка спостереження
Текстове поле «Назва» відповідає заголовку або імені для запису
«Спостереження», щоб допомогти користувачеві його ідентифікувати.
2. Випадаючий список «Важливість»
У випадаючому списку «Важливість» користувач може призначити рівень
важливості для запису спостереження.
Допустимими значеннями є: низький, середній і високий.
3. Текстове поле «Дата вирішення»
Текстове поле введення «Дата вирішення» містить дані для введення дати,
коли проблема має бути вирішена.
4. Текстове поле «Проблема»
Текстове поле «Проблема» дозволяє користувачеві ввести детальне
пояснення проблеми або проблеми, пов'язаної з тим, чому на питання або
вимогу було отримано відповідь «Ні».
5. Текстове поле «Впливи»
Текстове поле «Вплив» дозволяє користувачеві визначити потенційний або
реальний вплив, який проблема може мати або вже має на системи, активи
може мати або вже має на системи, активи та/або процедури.
6. Текстове поле «Рекомендації»
Текстове поле «Рекомендації» дозволяє користувачеві надавати
рекомендації або кроки для вирішення питань або проблем, визначених у
спостереженні.
7. Текстове поле «Вразливості»
Текстове поле введення «Вразливості» дозволяє користувачеві вказати
будь-які відомі вразливості в системах або активах, пов’язаних із
спостереженням.
8. Розділ «Відповідальні особи»
Розділ «Відповідальні особи» дозволяє користувачеві призначати осіб,
відповідальних за вирішення проблем, виявлених у записі спостереження.
Контрольний список контактів міститиме список усіх поточних контактів,
пов’язаних з оцінюванням. Вибравши контакт, ви призначите особу
відповідальною за запис спостереження.
9. Кнопка «Закрити»
Кнопка «Закрити» закриє вікно «Деталі спостереження».
Розділ зворотного зв'язку
CSET дозволяє користувачеві надсилати зворотній зв'язок як до DHS, так і до
FAA щодо запитань та вимог. На рисунку нижче описано процес зворотного
зв'язку.
Рисунок: Розділ зворотного зв'язку на екрані оцінювання
Поле зворотного зв'язку. Піктограма зворотного зв'язку відображає
червону крапку над іконкою, коли питання або вимога має зворотний
зв'язок. Це дозволяє користувачеві легко бачити, які питання мають відгук,
при прокручуванні списку питань.
Фільтр
Використовуйте фільтр питань, щоб обмежити типи питань, які ви бачите.
Користувач може фільтрувати за типом відповіді (Так, Ні, НД,
Альтернатива, Без відповіді) або додавати зауваження, коментарі та
позначки для перегляду.
Рисунок: Фільтр запитань
Користувач може вибрати стільки фільтрів, скільки він хоче об'єднати,
вибрати всі або не вибрати жодного.
Якщо немає результатів для відображення, з'явиться повідомлення, щоб
користувач міг змінити свій вибір.
Рисунок: Повідомлення про помилку «Немає видимих результатів»
Розділ результатів
Після того, як ви відповіли на запитання, настав час проаналізувати
результати оцінювання. Для перегляду та аналізу результатів можна
скористатися двома методами. Перший використовує онлайнові екрани
результатів, а другий підхід полягає в тому, щоб роздрукувати звіти та
переглянути їх у друкованому вигляді.
Розділі «Результати» пропонує метод вимірювання стану захищеності на
основі обраних Стандартів та відповідей на запитання, отриманих під час
процесу оцінювання.
У розділі «Результати» використовуються діаграми і табличні дані для
візуального відображення даних і, в той же час, для порівняння між
категоріями, питаннями і предметними областями.
Розділ «Результати» складається з аналітичної панелі, діаграм і звітів. У
цьому розділі буде описано кожну з них.
Екран аналізу
Екран «Аналіз» надає швидкий візуальний огляд того, наскільки добре
користувач справляється зі своєю позицією щодо кібербезпеки.
Екран «Аналіз» складається з навігаційної секції «Аналіз», секції
«Діаграми» та секції «Результати».
На рисунку нижче описано розділи екрану «Аналіз».
Рисунок: Екран аналізу
Розділ навігації аналізу
Розділ навігації аналізу містить посилання для доступу до різних екранів
навігації. Більшість посилань розділено на категорії, де деталі можна
приховати або відобразити, щоб полегшити роботу з багатьма доступними
параметрами.
Панель загальної оцінки
Загальний бал розраховується на основі кількості запитань, на які було
отримано відповідь «Так» або «Альт», порівняно із загальною кількістю
запитань.
Значення «Стандарти» це комбінація всіх вибраних стандартів. Значення
«Компоненти» це відсоток позитивних відповідей на всі запитання на
основі діаграми.
Базовий бал за стандартами
Ця діаграма показує комбінацію всіх відповідей, наданих на запитання
стандартів. Якщо було обрано більше одного стандарту, то діаграма
об'єднує результати за всіма стандартами і відображає їх на одному
графіку. Як зазначалося вище, щоб увімкнути або вимкнути певні зрізи,
натисніть на мітки під діаграмою.
Оцінка на основі компонентів
Ця кругова діаграма показує, як респонденти відповіли на запитання за
компонентами.
Відповіді, надані для компонентів за замовчуванням, поширюються на всі
компоненти, до яких відноситься питання. Це означає, що якщо ви
відповісте «Так» на запитання за замовчуванням, яке стосується лише
одного компонента, і «Ні» на запитання за замовчуванням, яке стосується
дев'яти компонентів, то ви побачите 10-відсоткову частку «Так» і 90-
відсоткову частку «Ні», якщо припустити, що ви проігноруєте всі інші
відповіді.
За допомогою цієї секторної діаграми та діаграми під назвою «Зведена
таблиця стандартних відповідей» ви можете натиснути на легенду, щоб
увімкнути або вимкнути шматочки пирога. Це може забезпечити більшу
наочність, якщо є дуже тонкі скибочки, які не є важливими для вашого
огляду.
Інформаційна панель у режимі запитань/вимог
Інформаційна панель аналізу в режимі запитань або вимог відображає
чотири діаграми для швидкого пошуку. Діаграми, що відображаються в
режимі оцінювання запитань/вимог, - це Відповідність оцінці, Категорії з
найвищим рейтингом, Зведення стандартів і Зведення компонентів. На
рисунку нижче подано короткий опис Панелі моніторингу в режимі
оцінювання «Питання/вимоги».
Рисунок: Діаграма відповідності оцінювання
Ця діаграма показує порівняння двох предметів: (1) оцінка відповідей за
стандартом або стандартами, якщо було обрано кілька стандартів і (2)
загальна оцінка для систем управління, що оцінюються.
Наведені цифри - це відсоток наданих позитивних відповідей у порівнянні
із загальною кількістю доступних відповідей. Відповіді з позначкою «НД»
(не стосується, не завершено) взагалі не зараховуються, а відповіді з
позначкою «Альт» або «Так» вважаються позитивною відповіддю,
наприклад, «Так». Негативна відповідь вважатиметься або «Ні», або «Без
відповіді».
Загальне значення - це комбінація всіх відповідей.
Значення «Стандарти» - це комбінація всіх вибраних стандартів.
Значення «Компоненти» відображає відсоток позитивних відповідей на всі
запитання на основі діаграми.
Для цієї діаграми не існує взаємодії або деталізації.
Діаграма «Рейтингові категорії» надає швидкий погляд на шість найкращих
категорій, де користувачеві потрібно покращити найбільше або найбільш
пріоритетні категорії, на яких слід зосередити увагу в першу чергу, виходячи
з відповідей на запитання оцінювання.
Рисунок: Діаграма «Рейтингові категорії»
Пріоритети контролю
Кожне запитання в оцінюванні, відповідь на яке було відповіддю «Ні» або
відповіді не було, буде ранжовано та відображено на екрані «Пріоритети
контролю».
Надана інформація має на меті відповісти на фундаментальне запитання:
«Добре, у мене є деякі проблеми, тож що мені робити в першу чергу?»
Виходячи з рейтингу, відповідь буде такою: спочатку виконайте номер 1,
потім виконайте номер 2 і так далі, доки не будуть вичерпані всі ресурси або
всі проблеми не будуть вирішені.
Екран «Пріоритети контролю» показано на рисунку нижче.
Рисунок: Екран «Пріоритети контролю»
У списку «Пріоритети контролю» відображається список усіх запитань, на
які було дано відповідь «Ні» або залишено без відповіді. Нижче наведено
опис стовпців у списку пріоритетів керування:
1 - Рейтинг (Ранг)
Числовий рейтинг кожного пропущеного питання, де #1 має найвищий
пріоритет.
Рейтинг базується на поєднанні факторів, які впливають на загальну оцінку.
Ці фактори включають наступне:
Конкретне значення ваги, призначене кожному питанню в CSET. Ця
оцінка походить від експертів у відповідній галузі з багаторічним
досвідом роботи в галузі інформаційних технологій і кібербезпеки
систем керування. Питання були проаналізовані та присвоєно вагу
відносно всіх інших питань.
Вагове значення предметної області або категорії питання. Кожній
сфері експерти також надали вагу по відношенню до всіх інших сфер.
Як і в самому питанні, було визначено, що деякі сфери є більш
важливими, ніж інші, хоча всі вони важливі для кібербезпеки.
Рівень гарантії безпеки (SAL) питання. Кожне запитання пов’язане з
рівнем впевненості. Наприклад, запитання, пов’язане з дуже високим
рівнем, буде нижчим за рангом, ніж питання з низьким рівнем, тому
що користувачеві рекомендується попрацювати над основними
вимогами, перш ніж переходити до вимог, необхідних для вищого
рівня. Хороший приклад стосується контролю доступу. Користувачі
повинні запровадити складний пароль (або, можливо, навіть пароль),
перш ніж турбуватися про реалізацію доступу до системи, керованого
комбінацією складного пароля, фізичного токена та біометрії. SAL
впливатиме на зважування лише тоді, коли бал буде вищим за
низький для закладу. Оскільки SAL обмежує питання лише тими, що
відповідають значенню SAL, якщо оцінка низька, користувач ніколи не
побачить жодних запитань, які можуть бути позначені як «Помірний»,
«Високий» або «Дуже високий».
Значення критичності компонента, призначене користувачем. На
мережевій діаграмі можна змінити критичність компонента зі
значення за замовчуванням «Помірна» на «Низька» або «Висока». Ті
компоненти, які є найбільш важливими для підприємства, матимуть
пріоритет над менш важливими.
2 - Стандартна назва
Значення в цьому стовпчику ідентифікує стандарт, з якого було отримано
запитання. Ця концепція особливо важлива при використанні декількох
Стандартів, які мають однакові назви категорій. Поєднання назви стандарту,
категорії та номеру допоможе знайти точне запитання або вимогу.
3 - Категорія
Назва основної категорії питання або предметної області, в якій знаходиться
питання або вимога.
4 - Число або №
У цьому стовпчику вказано номер питання в Стандарті та категорії. Вміст -
це гіперпосилання, при натисканні на яке відкривається вікно Питання і
здійснюється перехід до цього питання. Номер буде заголовком вимоги в
режимі оцінки вимог.
5 - Питання
Текст із запитання або вимоги, залежно від того, який режим був обраний.
6 - Відповідь
Це відповідь, обрана під час проходження оцінювання.
Дані можна відсортувати, натиснувши на заголовок відповідного стовпчика,
але рекомендується зберігати питання в порядку ранжирування і
відповідати на них відповідним чином.
Аналіз стандартів
У розділі «Аналіз стандартів» навігаційної панелі «Аналіз» відображаються
діаграми і табличні дані, засновані на відповідях на запитання для вибраних
стандартів. Аналіз стандартів містить екрани аналізу для Підсумків,
Ранжованих категорій і Результатів за категоріями, які будуть описані в
наступних розділах.
Резюме стандартів
Екран «Зведення за одним стандартом» відображає зведену інформацію,
пов'язану з результатами відповідей на один стандарт, який було обрано на
екрані «Стандарти» на початку оцінювання. Відображені графічні та
табличні дані будуть відповідати лише одному Стандарту.
Дані, що відображаються, відповідають відповідям на запитання, пов'язані
лише з обраним Стандартом, і не включають дані, пов'язані з компонентами
на мережевій діаграмі.
Діаграма показує відсоток усіх відповідей «Так», «Ні», «НД», «Альт» та
«Без відповіді» для вибраного стандарту. Табличні дані показують відповідь
у першій колонці. У другому стовпчику вказано номер вказаної відповіді, у
третьому - загальна кількість запитань, а в останньому стовпчику - відсоток
від загальної кількості запитань.
Рисунок: Зведена таблиця стандартів
Екран «Зведена таблиця єдиного стандарту» показаний на рисунку нижче.
Рисунок: Зведена таблиця стандартів для одного стандарту
Рейтингові категорії
Екран «Рейтинг категорій» показує список усіх основних категорій,
розташованих у порядку пріоритетності категорій, виходячи з того, як ви
відповіли на запитання. На цьому екрані відображаються лише відповіді з
вибраних Стандартів. Відповіді з компонентів діаграми не включені.
Діаграма показує категорії, розташовані в порядку важливості.
На цьому екрані виділяються категорії, які потребують найбільшої уваги у
випадку неправильних відповідей на запитання на основі Стандартів. На
відміну від інших екранів аналізу, які виділяють позитивні відповіді, цей
екран і пов'язані з ним дані показують, які категорії або сфери є
найслабшими і потребують найбільшої уваги. Іншими словами, чим довша
смуга на діаграмі, тим гірший результат у цій сфері.
Вкладка «Дані» містить табличні дані категорій, які відповідають смугам на
відповідній діаграмі. Табличні дані складаються з п'яти стовпчиків:
1. Категорія. Категорії беруться зі списку категорій, пов'язаних з
обраними Стандартами. Якщо вибрано кілька стандартів, цей список
складається з універсальних категорій. Питання з одного Стандарту
використовують категорії з цього Стандарту.
2. Ранг. Стовпчик «Ранг» відповідає розміру смуги на діаграмі і є
ваговим коефіцієнтом важливості.
3. Помилка. Підрахунок невдалих показує кількість негативних
відповідей, визначених відповіддю «Ні» або «Без відповіді». Загальна
кількість запитань не включає запитання, позначені як такі, що не
стосуються теми.
4. Всього. Загальна кількість показує загальну кількість запитань у
зазначеній категорії.
5. Відсоток. У цьому стовпчику кількість неправильних відповідей
ділиться на загальну кількість запитань, щоб отримати відсоток.
Екран рейтингових категорій показано на рисунку нижче.
Рисунок: Екран «Ранжовані категорії»
Результати за категорією – Єдиний стандарт
Екран «Результати за категоріями для одного стандарту» показує
позитивні результати проходження користувачем оцінювання,
організованого за категоріями, в які згруповані запитання. Результати
ґрунтуються на запитаннях одного Стандарту, обраного на екрані Стандарти
на початку оцінювання. Відображені графічні та табличні дані будуть
відповідати лише одному Стандарту. Якщо вибрано кілька стандартів,
відображається екран «Результати за категоріями кількох стандартів».
Дані, що відображаються, також не включають дані, пов'язані з
компонентами на мережевій діаграмі.
Відображена діаграма є гістограмою і показує відсоток правильних
відповідей (так і альтернативні) на запитання для вибраного стандарту,
згрупованих за категоріями. На вкладці «Дані» в першому стовпчику
відображається категорія. У другому стовпчику вказано кількість
правильних відповідей для зазначеної категорії, у третьому стовпчику -
загальна кількість запитань у категорії, а в останньому стовпчику - відсоток
правильних відповідей від загальної кількості запитань.
Екран «Результати за категоріями єдиного стандарту» показано на рисунку
нижче.
Рисунок: Результати за категоріями єдиного стандарту
Результати за категоріями з декількома стандартами
Екран «Результати за категорією кількох стандартів» показує позитивні
результати, отримані користувачем під час оцінювання, організованого за
вибраними стандартами, а також за категоріями, в яких згруповані
запитання. Результати ґрунтуються на запитаннях з декількох стандартів,
обраних на екрані Стандарти на початку оцінювання. Відображені діаграма
і табличні дані будуть відповідати декільком стандартам. Якщо вибрано
один стандарт, відобразиться екран «Результати за категорією для одного
стандарту». Дані, що відображаються, також не включають дані, пов'язані з
компонентами на мережевій діаграмі.
Відображена діаграма являє собою кілька гістограм. Для кожної категорії на
діаграмі відображається стовпчик для кожного вибраного стандарту. Кожен
стовпчик показує відсоток правильних відповідей (так і альтернативних) на
запитання для зазначеного Стандарту. Вкладка «Дані» містить кілька
таблиць, по одній для кожного Стандарту, у першій колонці яких зазначено
категорію. У другому стовпчику вказано кількість правильних відповідей
для зазначеної категорії, у третьому стовпчику - загальна кількість запитань
у категорії, а в останньому стовпчику - відсоток правильних відповідей від
загальної кількості.
Звіти
Після завершення оцінювання користувач може генерувати та друкувати
звіти про результати.
Мета функції звітування полягає в тому, щоб забезпечити спосіб друку і
публікації інформації про оцінку, включаючи зведені діаграми і списки. Вона
також забезпечує друковану копію результатів для використання на
зустрічах, для комунікації з керівництвом і як спосіб розподілу завдань
серед технічного персоналу. У поєднанні з онлайн-аналізом ці звіти можуть
допомогти користувачеві чітко зрозуміти, де є слабкі місця і що потрібно
покращити.
Резюме, огляд і екран коментарів
Екран «Резюме, огляд і коментарі» дозволяє користувачеві додавати
інформацію керівного рівня для відображення у звіті «Резюме». А також,
опис оцінювання на високому рівні та будь-які відповідні коментарі, які
будуть відображатися у звітах.
На екрані «Короткий зміст» міститься деякий текст за замовчуванням;
однак користувач повинен замінити цей текст на фактичну підсумкову
інформацію, яка відображає основні моменти оцінювання, як показано на
рисунку нижче.
Рисунок: Екран «Короткий зміст»
Конструктор звітів
Екран Конструктора звітів показано на рисунку нижче.
Рисунок: Екран Конструктора звітів
Щоб створити звіт, натисніть на посилання конкретного звіту на екрані
Конструктора звітів. Звіт відкриється на новій вкладці.
Підсумковий звіт. Параметр «Підсумковий звіт» створює короткий звіт.
Як випливає з назви, він призначений для аудиторії керівного рівня. Особа,
яка отримує звіт, може займати будь-яку посаду; однак, метою є надання
обмеженої графічної та високорівневої, узагальненої інформації, яку можна
швидко зрозуміти.
Обсяг цього звіту становить близько п'яти-шести сторінок і не містить жодної
детальної інформації, окрім переліку основних категорій та проблемних
сфер.
Звіт про стан сайту. Опція «Підсумковий звіт сайту» створює Звіт про стан
сайту.
Цільова аудиторія цього звіту - технічний менеджер або керівник, який
відповідає за управління впровадженням рекомендацій.
Звіт включає все, що міститься у Підсумковому звіті, плюс додаткові
діаграми на більш детальному рівні. Він також включає мережеву діаграму
та перелік усіх питань, на які не було отримано позитивних відповідей.
Важливою особливістю є ранжування пропущених запитань. Кожне питання
послідовно ранжується від одиниці до загальної кількості питань.
Рейтинг питання визначається за формулою, яка враховує вагу кожного
питання, вагу кожної категорії та рівень забезпечення безпеки (SAL),
пов'язаний з цим питанням.
Усім питанням у CSET присвоєно унікальну вагу відносно одне одного.
Категорії також були зважені. Ці оцінки були визначені профільними
експертами та ґрунтуються на їхніх рекомендаціях.
У формулі також враховується бал складності, який присвоюється питанню.
Наприклад, за інших рівних умов, якщо питання А має високий рівень
складності, а питання Б має низький рівень складності, то питання Б матиме
вищу позицію в списку, ніж А. Рекомендоване ранжування заохочуватиме
до виконання базових вимог, перш ніж переходити до більш складних.
Рейтинг має на меті відповісти на питання: «Над чим я повинен працювати
в першу чергу?». Рекомендується почати з питання під номером 1 і рухатися
далі за списком, виходячи з наявних ресурсів і плану кібербезпеки.
Детальний звіт сайту. Ця опція генерує Детальний звіт про сайт. Цей звіт
призначений для тих, хто впроваджує зміни в організації, оскільки він
містить детальну інформацію, необхідну для розподілу ресурсів і прийняття
зобов'язань щодо поліпшення кібербезпеки об'єкта або сайту.
План кібербезпеки сайту. Параметр «План кібербезпеки сайту» створює
шаблон Плану кібербезпеки сайту. Він надає огляд вимог до безпеки
системи та описує засоби контролю, які вже існують або заплановані для
задоволення цих вимог.
План включає кілька розділів, які можна знайти у Детальному звіті по
сайту, але основна частина звіту - це список всіх питань для оцінки та
відповідей на них, представлених у форматі, орієнтованому на контроль.
Таким чином, звіт містить огляд вимог до кібербезпеки та її стану на об'єкті.
Відривні аркуші. Параметр «Відривні аркуші» дозволяє створити список
всіх загроз, виявлених під час оцінювання на конкретні запитання. Кожному
запису про виявлення можна призначити контактну особу, а роздрукований
звіт дозволить легко розподілити завдання для вирішення кожного
виявлення або потенційної проблеми.
Зворотний зв’язок
Ви можете скористатися розділом «Надіслати відгук», щоб
переглянути/відправити всі коментарі, введені в поле для коментарів на
екрані «Оцінювання».
Ви можете або скопіювати текст заповненого повідомлення, відредагувати
і відправити його на свій розсуд, або скористатися кнопкою «Електронна
пошта», щоб вибрати свій поштовий клієнт і відредагувати і відправити його
звідти.
Зауаження!
Вкладка «Надіслати відгук» не дозволяє редагувати відгуки, додані під час
оцінювання.
Відгуки потрібно редагувати з самого оцінювання. Всі відгуки з будь-якого
оцінювання будуть показані на екрані «Відгуки». Не тільки відгуки з
активного оцінювання.
Рисунок: Екран «Надіслати відгук»
Словник термінів та скорочень
Акроніми
Акронім
Визначення
ALT
Альтернативний метод
C2M2
Модель зрілості спроможностей кібербезпеки
CAG
Настанови з консенсусного аудиту
CCI
Ідентифікатор кореляції контролю
CFATS
Антитерористичні стандарти для хімічних об'єктів
CFR
Кодекс федеральних правил
CIP
Захист критичної інфраструктури
CIS
Центр інтернет-безпеки
CMMS
Комп’ютеризована система управління технічним
обслуговуванням
CNSSI
Інструкція комітету з питань систем національної безпеки
CoR
Каталог рекомендацій
CSET
Інструмент оцінки кібербезпеки
CUI
Контрольована несекретна інформація
DCS
Розподілена система управління
DHS
Міністерство внутрішньої безпеки США
DISA
Агентство оборонних інформаційних систем
DoD
Міністерство оборони США
eMASS
Служба підтримки забезпечення місії підприємства
FIPS
Федеральні стандарти обробки інформації
HIPAA
Закон про переносимість та підзвітність медичного страхування
від 1996 року
HMI
Людино-машинний інтерфейс
ICS
Промислова система управління
ICT
Інформаційно-комунікаційні технології
IDS
Система виявлення вторгнень
IIS
Інформаційні служби Інтернету
INGAA
Міждержавна асоціація природного газу Америки
IR
Міжвідомчий звіт
IT
Інформаційні технології
MAC
Категорія забезпечення місії
MIL
Рівень індикатора зрілості
MSC
Компонент багатофункціональних послуг
NA
Не застосовується
NEI
Інститут ядерної енергетики
NERC
Північноамериканська корпорація з електричної надійності
NIST
Національний інститут стандартів і технологій
NRC
Комісія з ядерного регулювання
PCIDSS
Стандарт безпеки даних індустрії платіжних карток
PDF
Портативний формат документа
PII
Інформація, що дозволяє ідентифікувати особу
PLC
Програмований логічний контролер
RBPS
Стандарти ефективності, засновані на оцінці ризиків
RG
Регуляторні настанови
SAL
Рівень забезпечення безпеки
SCADA
Диспетчерське управління та збір даних
SP800
Спеціальна публікація 800
TSA
Управління транспортної безпеки
URL
Уніфікований покажчик інформаційного ресурсу
USB
Універсальна послідовна мережа USB
VPN
Віртуальна приватна мережа
Ключові терміни
Пояснення
Запитання, що генеруються інструментом у відповідь на
обрані користувачем Стандарти.
Сховище документів, доданих користувачем до оцінки.
Зведений звіт про результати по кожному питанню,
включаючи відповіді користувачів, виклад фактичних вимог
(або недоліків), відповіді щодо загального рівня якості та
пов'язані з ним довідкові документи.
Будь-яка інформація або матеріали, які були визначені
урядом США відповідно до виконавчого наказу, закону або
положення, як такі, що потребують захисту від
несанкціонованого розголошення з міркувань національної
безпеки (Закон про процедури роботи з секретною
інформацією, 18 звід законів США, Додаток 3, Розділ 1(a)). 3,
Розділ 1(a)).
Топологія мережі, яка найкраще відображає конфігурацію
промислової системи керування. Діаграма включає типові
компоненти, пов'язані з системою управління, такі як
роз'єм, міжмережевий екран, мережевий маршрутизатор,
мережевий комутатор, послідовний комутатор, мережевий
концентратор, модем, програмований логічний контролер,
віддалений термінал, HMI, інженерна робоча станція,
система виявлення вторгнень, бездротова точка доступу,
послідовний радіоканал, сервер додатків, сервер баз даних,
термінальний сервер, веб-сервер, віртуальна приватна
мережа, шифрування з'єднання, система централізованого
спостереження, принтер та годинник.
Сформований перелік питань щодо кібербезпеки системи
управління на основі визначених SAL та компонентів, що
містяться на схемі топології мережі.
Застосовуваний до інформаційних систем Міністерства
оборони, рівень конфіденційності в першу чергу
використовується для встановлення прийнятних факторів
доступу, таких як вимоги до індивідуальних допусків або
попередніх розслідувань, дозволів на доступ і визначення
необхідності в знаннях; контроль і дозволи на
взаємозв'язок; і прийнятні методи, за допомогою яких
користувачі можуть отримати доступ до системи
(наприклад, через інтрамережу, Інтернет, бездротовий
зв'язок). Міністерство оборони має три визначені рівні
конфіденційності: засекречена, чутлива і загальнодоступна.
Об'єкти, системи та обладнання, знищення, пошкодження,
погіршення стану або інший вихід з ладу яких може суттєво
вплинути на здатність обслуговувати велику кількість
клієнтів протягом тривалого періоду часу, негативно
вплинути на надійність або працездатність електромережі,
або спричинити значний ризик для здоров'я та безпеки
населення.
Застосовувана до інформаційних систем Міністерства
оборони, категорія забезпечення місії відображає
важливість інформації для досягнення цілей і завдань
Міністерства оборони. Категорії забезпечення місії в першу
чергу використовуються для визначення вимог до
доступності та цілісності. Міністерство оборони має три
визначені категорії забезпечення місії: MAC I, MAC II і MAC
III. Системи MAC I вимагають найсуворіших заходів захисту.
Офіційна інформація, яка була розглянута та схвалена для
публічного оприлюднення власником інформації.
Електронні копії документації з кібербезпеки, включені в
інструмент для довідки, включаючи федеральні кодекси,
офіційні документи, звіти, галузеві стандарти та
рекомендації.
Відносні наслідки успішної атаки на систему управління, що
оцінюється. Аналіз наслідків визначає найгірші,
обґрунтовані наслідки, які можуть бути спричинені
конкретним сценарієм загрози. Загальний SAL надає
загальну оцінку критичності на основі аналізу
користувачами сценаріїв загроз безпеці та оцінених
наслідків.
SAL варіюється від низького до дуже високого.
Категорії безпеки пов’язані зі стандартами NIST 800-53 і
визначаються як:
КОНФІДЕНЦІЙНІСТЬ
«Збереження дозволених обмежень на доступ до
інформації та її розкриття, включаючи засоби захисту
особистої приватності та службової інформації...»
Втрата конфіденційності - це несанкціоноване
розголошення інформації.
ЦІЛІСНІСТЬ
«Захист від неналежної модифікації або знищення
інформації, що включає забезпечення неспростування та
автентичності інформації...»
Втрата цілісності - це несанкціонована модифікація або
знищення інформації.
ДОСТУПНІСТЬ
«Забезпечення своєчасного та надійного доступу до
інформації та її використання…»
Втрата доступності - це порушення доступу або
використання інформації чи інформаційної системи.
Низький, помірний та високий рівні безпеки за стандартом
NIST 800-53 пояснюються наступним чином:
НИЗЬКИЙ:
Очікується, що втрата конфіденційності, цілісності або
доступності матиме обмежений негативний вплив на
організаційні операції, організаційні активи або окремих
осіб.
ЗНАЧЕННЯ: Обмежений негативний вплив означає, що,
наприклад, втрата конфіденційності, цілісності або
доступності може: (i) спричинити погіршення спроможності
виконання місії до такої міри та тривалості, що організація
зможе виконувати свої основні функції, але ефективність
функцій помітно знизиться; (ii) призвести до незначної
шкоди активам організації; (iii) призвести до незначних
фінансових втрат; або (iv) призвести до незначної шкоди
окремим особам.
ПОМІРНИЙ:
Втрата конфіденційності, цілісності або доступності може
мати серйозний негативний вплив на діяльність організації,
її активи або окремих осіб.
ЗНАЧЕННЯ: Серйозний негативний вплив означає, що,
наприклад, втрата конфіденційності, цілісності або
доступності може: (i) спричинити значне погіршення
спроможності виконання місії до такої міри та тривалості,
що організація зможе виконувати свої основні функції, але
ефективність цих функцій значно знизиться; (ii) призвести
до значної шкоди активам організації; (iii) призвести до
значних фінансових втрат; або (iv) призвести до значної
шкоди окремим особам, яка не пов'язана із загибеллю
людей або серйозними травмами, що загрожують їхньому
життю.
ВИСОКИЙ:
Втрата конфіденційності, цілісності або доступності може
мати серйозний або катастрофічний негативний вплив на
діяльність організації, її активи або окремих осіб.
ЗНАЧЕННЯ: Серйозний або катастрофічний негативний
вплив означає, що, наприклад, втрата конфіденційності,
цілісності або доступності може: (i) спричинити серйозну
деградацію або втрату спроможності виконання місії в такій
мірі і на такий час, що організація не зможе виконувати одну
або декілька своїх основних функцій; (ii) призвести до
значної шкоди активам організації; (iii) призвести до
значних фінансових втрат; або (iv) призвести до серйозної
або катастрофічної шкоди окремим особам, у тому числі до
загибелі людей або серйозних травм, що загрожують
їхньому життю.
Високий, помірний або низький рівень конфіденційності,
цілісності та доступності відповідно до FIPS 199 та NIST
SP800-60.
Будь-яка інформація, втрата, неправильне використання,
несанкціонований доступ або модифікація якої може
негативно вплинути на національні інтереси або виконання
федеральних програм, або на конфіденційність, на яку
особи мають право відповідно до розділу 552а розділу 5
Кодексу США (Закон про конфіденційність), але яка не була
спеціально дозволена відповідно до критеріїв,
встановлених виконавчим наказом або актом Конгресу,
щоб зберігатися в таємниці в інтересах національної
оборони або зовнішньої політики.
Часті запитання (FAQ)
Це список питань, які можуть бути корисними для нових користувачів.
1. Моя система працює повільно. Як я можу
пришвидшити її роботу?
Ця версiя може працювати повiльнiше, нiж попереднi версiї CSET.
Переконайтеся, що на комп'ютері користувача достатньо оперативної
пам'яті. Рекомендується 3 ГБ оперативної пам'яті. Перевірте диспетчер
завдань, щоб переконатися, що комп'ютер не виконує підкачування на диск,
що може спричинити значне падіння продуктивності. Затримки зазвичай
виникають через завантаження системи та кешування даних між основними
екранами. Більша затримка спостерігається при використанні великої
діаграми або при виборі декількох стандартів. Швидший процесор також
може допомогти.
2. Як імпортувати файл із попередньої версії
CSET?
Додаткову інформацію див. у розділі «Імпорт оцінювання CSET».
3. Чому Каталог рекомендацій не доступний у
режимі питання на екрані «Стандарти»?
Каталог рекомендацій версії 7 був основою для Універсальних запитань,
тому його вибір означав би подвійний вибір того самого набору запитань.
Щоб уникнути плутанини, його не можна вибрати в режимі Запитання.
4. Який стандарт мені слід
використовувати?
Тільки користувач може відповісти на це питання для своєї організації;
однак вичерпну довідкову інформацію можна знайти, переглянувши розділ
довідки «Вибір стандарту кібербезпеки». Користувач також може
звернутися до Посібника користувача, доступного на головному екрані.
5. Чи можу я відмінити відповідь на екрані
запитань після того, як зробив вибір?
Так. Просто натисніть кнопку ще раз, щоб очистити її.
6. Я втратив свою зону на діаграмі. Куди
вона поділася?
Як і інші фігури, вона могла опинитися за іншою зоною або іншою фігурою.
Ви можете перемістити або згорнути фігури, щоб побачити, чи не сховалася
вона за ними. Ви також можете перейти на вкладку «Формат» і
скористатися опціями з меню «Команди», щоб перемістити зони та інші
фігури вперед і назад у порядку перегляду. Щоб швидко побачити, що
знаходиться за зоною або фігурою, перемістіть її на задній план.
Ви також можете перевірити, чи не було його призначено шару, який не
відображається. Перейдіть на вкладку «Головна» та виберіть «Шари».
Переконайтеся, що всі шари позначено.
7. Я розмістив текстове поле на діаграмі і
хочу змінити стиль. Як це зробити?
Текстові об’єкти розміщуються на діаграмі на вкладці меню «Формат».
Форматування можна знайти на тій самій вкладці або натиснувши на
піктограму з шестернею, щоб відкрити модальне вікно властивостей.
Перейдіть на вкладку «Формат», клікніть на текстовому блоці і внесіть зміни
за допомогою команд Стилі підписів. Ви можете змінити шрифт, розмір,
жирність, курсив, підкреслення, колір і положення.
8. У мене виникають проблеми із з'єднанням
компонентів на діаграмі. Чи є тут якась
підказка?
Це може бути дещо складно, особливо коли є кілька ліній. Спершу клікніть
інструмент «Селектор» на вкладці «Формат». Потім виберіть початковий
компонент. Навколо нього з'явиться сіра рамка. Клікніть всередині сірої
рамки і, утримуючи кнопку миші, перетягніть лінію до другого компонента.
Наведіть вказівник миші на центр другого компонента, доки область
посилання не стане червоною, а потім клікніть. Проблема виникне, якщо ви
клацнете у цьому місці ще раз, щоб нарисувати ще одну лінію. Система
може подумати, що ви намагаєтеся перемістити першу лінію, а не почати
нову. Клікніть за межами компонента, щоб завершити першу лінію, перш
ніж починати іншу з тієї самої точки.
9. Я на діаграмі і, здається, не можу змінити
режими. Як мені дізнатися, де я
перебуваю і як змінити режим?
Вибраний режим або функцію позначено синім тлом на піктограмі. Він
може залишатися активним, навіть якщо ви зміните опції меню, вибравши
нову вкладку. Натискання на іншу функцію змінить режим. Наприклад, щоб
припинити створення текстових полів, клікніть інструмент «Селектор» у
меню «Формат». Бувають випадки, коли функція залишається активною
навіть після натискання нової кнопки. Наприклад, Аналізувати мережу - це
перемикач, який не залежить від інших дій.
10. Чи можна змінити властивості кількох
об'єктів одночасно?
Так, ви можете вибрати кілька об'єктів, але єдиною властивістю, яку можна
змінити для всіх них, є шар. Ви також можете використовувати мультивибір,
щоб зняти унікальний прапорець і вилучити перевизначення питань, якщо
такі є. Щоб виділити кілька об'єктів, ви можете перетягнути рамку навколо
них за допомогою інструмента «Селектор» на вкладці «Формат». Нажаль,
це може призвести до захоплення сусідніх, але небажаних об'єктів.
Інший спосіб - утримувати клавішу Control (Ctrl) на клавіатурі, клікаючи
мишею на потрібних об'єктах.
11. У мене є діаграма Microsoft Visio. Чи можу
я її використати?
Ні, не в поточній версії CSET. Це буде можливо в майбутньому.
12. На екрані Підсумкового списку
компонентів кількість запитань, здається,
не додається. Що відбувається?
Може виникнути ситуація, коли у вас є два компоненти одного типу, а на
екрані аналізу ви бачите непарну кількість запитань. Це може статися, якщо
компоненти знаходяться в зонах з різними рівнями забезпечення безпеки
(SAL).
Наприклад, сервер додатків в зоні з низьким SAL може мати 10 пов'язаних
питань, а сервер додатків в зоні з високим SAL може мати 15 питань,
пов'язаних з ним, через більш високі вимоги. Загальна кількість запитань
становитиме 25 для обох серверів.